Google indica que teléfonos Android y Apple han sido infectados por un software espía italiano.
La curiosa historia de una Carrier.app falsa
NOTA: Este problema fue CVE-2021-30983 y se solucionó en iOS 15.2 en diciembre de 2021.
Las herramientas de piratería informática de una empresa italiana se utilizaron para espiar los teléfonos inteligentes con sistema iOS y Android en Italia y Kazajstán, según lo informado por Google.
Proveedor de spyware apunta a usuarios en Italia y Kazajistán
https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/
Fake Carrier.app
TAG sospecha que un objetivo recibe un enlace a esta aplicación en un SMS, luego de que el atacante solicita al operador que deshabilite la conexión de datos móviles del objetivo.
El SMS afirma que para restaurar la conectividad de datos móviles, el objetivo debe instalar la aplicación del operador e incluye un enlace para descargar e instalar esta aplicación falsa.
La aplicación se divide en varias partes. Contiene un contenedor genérico de exploits de escalada de privilegios que utilizan seis exploits diferentes. También contiene un agente minimalista capaz de extraer archivos interesantes del dispositivo, como la base de datos de Whatsapp.
Estructura de la aplicación
La aplicación se divide en múltiples marcos. InjectionKit.framework que actua como un contenedor de exploits de escalado de privilegios, brindando acceso al kernel, entitlement injection, amfid bypass, así como acceso root parala instalación de aplicaciones, la creación de archivos, etc.
Agent.framework está parcialmente ofuscado pero, como sugiere su nombre, parece ser un agente básico capaz de encontrar y extraer archivos interesantes del dispositivo, como la base de datos de mensajes de Whatsapp.
La aplicación contenía los siguientes exploits:
- CVE-2018-4344 denominado internamente y conocido públicamente como LightSpeed.
- CVE-2019-8605 denominado internamente SockPort2 y conocido públicamente como SockPuppet
- CVE-2020-3837 denominado internamente y conocido públicamente como TimeWaste.
- CVE-2020-9907 denominado internamente como AveCesare.
- CVE-2021-30883 denominado internamente como Clicked2, marcado como explotado in-the-wild por Apple en octubre de 2021.
- CVE-2021-30983 denominado internamente Clicked3, corregido por Apple en diciembre de 2021.
Todos los exploits utilizados antes se basan en exploits públicos escritos por diferentes comunidades de jailbreak. En el momento del descubrimiento, creemos que CVE-2021-30883 y CVE-2021-30983 eran dos exploits de día cero. En colaboración con TAG, Project Zero ha publicado el análisis técnico de CVE-2021-30983.
En el momento del descubrimiento, CVE-2021-30883 y CVE-2021-30983 eran dos exploits 0Day. En TAG, Project Zero ha publicado el análisis técnico de CVE-2021-30983.
Si bien incluye seis exploits de escalado de privilegios el sexto “CVE-2021-30983” utiliza un exploit DCP “coprocesador de pantalla” que se envía con iPhone 12 y superior y todas las Mac M1.
Hay poca información pública sobre el DCP; el más completo proviene del proyecto Asahi linux que está portando Linux a M1 Macs. En sus actualizaciones de agosto de 2021 y septiembre de 2021 , hablaron sobre sus esfuerzos de ingeniería inversa de DCP y el cliente DCP de código abierto escrito por @alyssarzg . Asahi describe el DCP así:
En la mayoría de los SoC móviles, el controlador de pantalla es solo una pieza de hardware con registros simples. Si bien esto también es cierto en el M1, Apple decidió darle un giro. Agregaron un coprocesador al motor de visualización (llamado DCP), que ejecuta su propio firmware (inicializado por el gestor de arranque del sistema) y trasladaron la mayor parte del controlador de visualización al coprocesador. Pero en lugar de hacerlo en un límite de controlador natural… tomaron la mitad de su controlador macOS C++, lo movieron al DCP y crearon una interfaz de llamada a procedimiento remoto para que cada mitad pueda llamar a métodos en objetos C++ en la otra CPU.
https://asahilinux.org/2021/08/progress-report-august-2021/
@i41nbeer
https://www.techinsights.com/blog/two-new-apple-socs-two-market-events-apple-a14-and-m1
El DCP, al igual que otros coprocesadores en el iPhone, se encuentra detrás de un DART (Tabla de resolución de direcciones de dispositivos). Esto es como un SMMU (IOMMU en el mundo x86) que fuerza una capa adicional de búsqueda de direcciones físicas entre el DCP y la memoria física. DART se cubrió con gran detalle en Over The Air – Vol. 2, punto 3 blogs . El DCP claramente necesita acceder a muchos búferes propiedad de las tareas del espacio de usuario, así como a la memoria administrada por el kernel. Para hacer esto, el DCP devuelve llamadas RPC al AP, que modifica las entradas de DART en consecuencia. Esto parece ser exactamente lo que hace el exploit DCP: la familia D45X de métodos DCP->AP RPC parece exponer una interfaz para solicitar direcciones físicas y virtuales arbitrarias que se mapearán en DCP DART. Lo más probable es que el objeto falso de C++ sea un código auxiliar que realiza tales llamadas en nombre del exploit, lo que permite que el exploit lea y escriba la memoria del kernel.
@i41nbeer
Todos estos malware se le atribuyen a RCS Lab, con sede en Milán, donde su sitio web afirma que las agencias policiales europeas son sus clientes, desarrolló herramientas para espiar mensajes privados y contactos de los dispositivos de los objetivos.
Los reguladores europeos y estadounidenses han estado sopesando posibles nuevas reglas sobre la vena e importación de ‘spyware’. Este informe se une al sonado caso del software espía Pegasus de la empresa NSO Group.