Guvernul sârb a exploatat vulnerabilitățile zero-day Qualcomm pentru a debloca și infecta dispozitivele Android cu un nou spyware numit ‘NoviSpy’, folosit pentru a spiona activiști, jurnaliști și protestatari.
Una dintre vulnerabilitățile Qualcomm legate de atacuri este CVE-2024-43047, care a fost marcată ca o vulnerabilitate zero-day exploatată activ de către Google Project Zero în octombrie 2024 și a primit o soluție pe Android în noiembrie.
Spyware-ul, care pare să fi fost implementat de autoritățile sârbe, pe baza comunicațiilor sale, a fost descoperit de Laboratorul de Securitate al Amnesty International pe telefonul unui jurnalist după ce poliția l-a returnat.
Subsecvent, cercetătorii au furnizat Grupului de Analiză a Amenințărilor (TAG) de la Google artefacte de exploatare, ducând la descoperirea vulnerabilităților din driverul Qualcomm DSP (Digital Signal Processor) (‘adsprpc’), care este folosit pentru externalizarea procesării multimedia către nucleul DSP.
Deși Google nu este sigur despre ce vulnerabilități sunt exploatate de NoviSpy, dovezi sugerează că spyware-ul folosește un lanț de exploatare pentru a trece de mecanismele de securitate Android și pentru a se instala persistent la nivelul kernelului.
Amnesty International raportează că NoviSpy a fost implementat de către Agenția de Informații a Securității sârbe (BIA) și poliția sârbă după ce un telefon a fost deblocat folosind instrumentele de deblocare Cellebrite în timpul custodiei fizice a dispozitivelor.
În ceea ce privește compromiterea inițială, Amnesty International spune că artefactele recuperate indică un atac fără clicuri care folosește funcții de apel Android precum Voce peste Wi-Fi sau Voce peste LTE (VoLTE) pentru a se instala pe dispozitivele compromise examinate, folosite ca parte a apelului Rich Communication Suite (RCS).
Amnesty International suspectează că unii activiști ar fi putut fi țintiți folosind o vulnerabilitate Android fără clicuri care ar putea fi exploatată prin primirea de apeluri telefonice de la numere de telefon nevalide cu multe cifre.
Rețintele includ jurnaliști, activiști pentru drepturile omului și dizidenți guvernamentali. Exemple specifice menționate în raportul Amnesty includ jurnalistul Slaviša Milanov, un membru al ONG-ului Krokodil și trei activiști.
Cu toate acestea, Amnesty spune că probele tehnice sugerează că NoviSpy a fost instalat pe zeci, dacă nu sute, de dispozitive Android în Serbia în ultimii ani.
În prezent, Qualcomm nu a lansat un patch pentru CVE-2024-49848, deși Google a raportat problema acum 145 de zile.
Google a remarcat, de asemenea, că Qualcomm a întârziat patchingul CVE-2024-49848 și CVE-2024-21455 peste perioada standard a industriei de 90 de zile.
În legătură cu CVE-2024-49848, Qualcomm a declarat că un patch a fost dezvoltat și se află în procesul său de divulgare, cu buletinul de securitate asociat care va veni în ianuarie 2025.
În ceea ce privește vulnerabilitatea care nu are un identificator CVE, Qualcomm spune că problema a fost inclusă împreună cu fixarea CVE-2024-33060 în septembrie 2024 și, prin urmare, a fost rezolvată.
Actualizare 16/12/24: Adăugate informații noi de la Qualcomm despre fixurile viitoare.
Leave a Reply