Noticias

Google identificó un software espía en celulares de Samsung/ Google says surveillance vendor targeted Samsung phones with zero-days

Los teléfonos que fueron afectados tenían el procesador Exynos y los atacantes podían modificar y leer archivos

El Grupo de Análisis de Amenazas de Google (TAG) dio a conocer que identificó un software espía en dispositivos móviles de Samsung, que llegó a explorar vulnerabilidades en los dispositivos, aunque la situación ya fue controlada y corregida.

Fueron tres vulnerabilidades las que se usaron como una cadena para tomar parte del control del celular, ya que los atacantes tenían privilegios para leer y modificar archivos para luego exponerlos.

“El análisis de esta cadena de explotación nos ha brindado información nueva e importante sobre cómo los atacantes se dirigen a los dispositivos Android. Destaca la necesidad de más investigación sobre los componentes específicos del fabricante. Muestra dónde debemos hacer más análisis de variantes”, afirmó Maddie Stone, investigadora de seguridad de Google Project Zero.

Teléfonos atacados por espías

Según la investigación los celulares en los que se realizaron los ataques eran los que utilizaban el kernel 4.14.113 y el procesador Exynos, que se comercializa principalmente en Europa, Medio Oriente y África.

Además, las referencias en las que fue identificado el espionaje fueron el Galaxy S10, A50 y A51, donde se llevaba a los usuarios a descargar un archivo por fuera de las tiendas oficiales, que le permitió al ciberdelincuente huir de la zona de pruebas de la aplicación diseñada para contener su actividad y acceder al resto del sistema operativo del dispositivo.

Sin embargo, los investigadores solo pudieron obtener un competente de la aplicación de explotación, por lo que no se sabe cuál fue la carga útil final.

Esta situación ya fue corregida por Samsung, que se comprometió a divulgar las vulnerabilidades que se explotan activamente, como ya lo están haciendo Google y Apple.

Durante este año, los investigadores también encontraron otro software espía llamado Hermit, que estaba trabajando en Android y iOS. Este había sido desarrollado por RCS Lab y estaba dirigido a gobiernos, con victimas conocidas en Italia y Kazajistán.

<b>Cómo evitar que las cuentas sean hackeadas</b>

1. Nunca proporcionar información personal o financiera por teléfono o correo electrónico.Hay que tener cuidado con las estafas de phishing, en las que llega un mensaje emergente al teléfono o correo electrónico solicitando información personal o financiera.

2. Utilizar siempre contraseñas seguras que tengan al menos ocho caracteresque contengan números y caracteres especiales (como $, % y +) y que no contengan palabras del diccionario. Cambiar las contraseñas con frecuencia y nunca hay que compartirlas.

3. Utilizar programas antivirus y antimalware. El spyware es un software que a menudo se instala en una computadora sin el conocimiento del usuario y recopila información sobre uno. Hay que tener severo cuidado con las estafas de phishing.

4. Evitar usar un software descargado de sitios web desconocidos o servicios de intercambio de archivosMás bien, evitar casi todos los software que no se haya descargado de un proveedor de confianza (oficial). De hecho, estos son programas que pueden contener spyware.

5. Activar la verificación multifactor o de dos pasos.Casi todos los principales servicios y cuentas (Steam, Microsoft, Discord, etc.) tienen la capacidad de activar la verificación de varios pasos ya sea por correo electrónico, mensaje de texto o mediante un código en la aplicación. Los expertos en seguridad consideran esto importante.

6. Nunca publicar información personal sobre uno en las redes sociales y otros sitios similares: fecha de nacimiento, lugar de nacimiento, apellidos, etc. Los motores de búsqueda pueden encontrar fácilmente esta información y usarla en la contra de uno. Infobae

Google encontró que algunos celulares de Samsung habían sido atacados por un software espía.

Google says surveillance vendor targeted Samsung phones with zero-days

Google says it has evidence that a commercial surveillance vendor was exploiting three zero-day security vulnerabilities found in newer Samsung smartphones.

The vulnerabilities, discovered in Samsung’s custom-built software, were used together as part of an exploit chain to target Samsung phones running Android. The chained vulnerabilities allow an attacker to gain kernel read and write privileges as the root user, and ultimately expose a device’s data.

Google Project Zero security researcher Maddie Stone said in a blog post that the exploit chain targets Samsung phones with a Exynos chip running a specific kernel version. Samsung phones are sold with Exynos chips primarily across Europe, the Middle East, and Africa, which is likely where the targets of the surveillance are located.

Stone said Samsung phones running the affected kernel at the time include the S10, A50, and A51.

The flaws, since patched, were exploited by a malicious Android app, which the user may have been tricked into installing from outside of the app store. The malicious app allows the attacker to escape the app sandbox designed to contain its activity, and access the rest of the device’s operating system. Only a component of the exploit app was obtained, Stone said, so it isn’t known what the final payload was, even if the three vulnerabilities paved the way for its eventual delivery.

“The first vulnerability in this chain, the arbitrary file read and write, was the foundation of this chain, used four different times and used at least once in each step,” wrote Stone. “The Java components in Android devices don’t tend to be the most popular targets for security researchers despite it running at such a privileged level,” said Stone.

Google declined to name the commercial surveillance vendor, but said the exploitation follows a pattern similar to recent device infections where malicious Android apps were abused to deliver powerful nation-state spyware.

Earlier this year security researchers discovered Hermit, an Android and iOS spyware developed by RCS Lab and used in targeted attacks by governments, with known victims in Italy and Kazakhstan. Hermit relies on tricking a target into downloading and installing the malicious app, such as a disguised cell carrier assistance app, from outside of the app store, but then silently steals a victim’s contacts, audio recordings, photos, videos, and granular location data. Google began notifying Android users whose devices have been compromised by Hermit. Surveillance vendor Connexxa also used malicious sideloaded apps to target both Android and iPhone owners.

Google reported the three vulnerabilities to Samsung in late 2020, and Samsung rolled out patches to affected phones in March 2021, but did not disclose at the time that the vulnerabilities were being actively exploited. Stone said that Samsung has since committed to begin disclosing when vulnerabilities are actively exploited, following Apple and Google, which also disclose in their security updates when vulnerabilities are under attack.

“The analysis of this exploit chain has provided us with new and important insights into how attackers are targeting Android devices,” Stone added, intimating that further research could unearth new vulnerabilities in custom software built by Android device makers, like Samsung.

“It highlights a need for more research into manufacturer specific components. It shows where we ought to do further variant analysis,” said Stone. Zack Whittaker