Les cybermercenaires au service des agences gouvernementales ne connaissent pas la crise. Les chercheurs en sécurité du Google Threat Analysis Group viennent de révéler trois campagnes d’espionnage de terminaux Android, détectées entre août et octobre 2021 et attribuées à l’éditeur Cytrox, fondé en 2017 en Macédoine du Nord. Celui-ci a été épinglé pour la première fois en décembre 2021 par The Citizen Lab et taille des croupières à son concurrent NSO depuis que ce dernier a été mis en difficulté sur le plan médiatique et politique. Le logiciel de Cytrox aurait notamment remplacé Pegasus au sein de l’appareil répressif saoudien à partir de juillet 2021.
En tous cas, d’un point de vue technique, les développeurs de Cytrox n’ont pas à rougir devant leurs homologues de NSO. Les trois campagnes analysées par Google s’appuient quand même sur cinq failles zero-day. Quatre concernent le navigateur Chrome et un l’OS Android. « Nous pensons avec une grande confiance que ces exploits ont été intégrés par une seule société commerciale de surveillance, Cytrox, et vendus à différents acteurs gouvernementaux », affirme Google dans une note de blog.
A découvrir aussi en vidéo :
Ces campagnes étaient très ciblées et visaient à peine quelques dizaines d’utilisateurs Android. Elles utilisaient systématiquement comme vecteur d’infection initial des liens raccourcis insérés dans des courriels. En cliquant sur le lien, l’utilisateur est dirigé vers un domaine qui s’occupe de l’infection initiale de l’appareil, avant d’être redirigé vers un site légitime pour ne pas éveiller de soupçons. Le but de ces campagnes était d’installer le logiciel d’espionnage « Predator » de Cytrox.
L’une de ces campagnes aurait peut-être pu être évitée, car elle s’appuyait sur un bug dans le noyau Linux qui avait été corrigé dès septembre 2020, soit un an avant son exploitation par Cytrox. « La mise à jour n’a pas été signalée comme un problème de sécurité et, par conséquent, le correctif n’a pas été intégré dans la plupart des noyaux Android. Au moment de l’exploit, tous les noyaux Samsung étaient vulnérables », précise Google.
Cette nouvelle analyse montre, une fois de plus, que les fournisseurs de produits de surveillance ont atteint un niveau de technicité qui n’existait auparavant qu’au sein d’entités gouvernementales. Les chercheurs de Google précisent que parmi les neuf zero-day découverts en 2021, sept ont été exploités par ce genre d’acteurs au profit de clients gouvernementaux. Actuellement, ils ont sur leur radar une trentaine d’éditeurs qu’ils suivent de manière active.
Source: Google