Sırp hükümeti, aktivistlere, gazetecilere ve protestoculara casusluk yapmak için kullanılan 'Novispy' adlı yeni bir casus yazılımla Android cihazların kilidini açmak ve enfekte etmek için Qualcomm Zero günlerini kullandı.
Saldırılarla bağlantılı Qualcomm kusurlarından biri, Ekim 2024'te Google Project Zero tarafından aktif olarak sömürülen sıfır gün güvenlik açığı olarak işaretlenen ve Kasım ayında Android'de bir düzeltme alan CVE-2024-43047'dir.
Sırp yetkililer tarafından iletildiği gibi görünen casus yazılımlar, iletişimine dayanarak, polisin geri döndükten sonra bir gazetecinin telefonunda Uluslararası Af Örgütü Güvenlik Laboratuvarı tarafından keşfedildi.
Uluslararası, görünüşte rutin bir trafik durağından sonra yerel ilgi haberi hikayelerini kapsayan Sırbistan'daki Dimitrovgrad'dan bağımsız bir gazeteci olan Slaviša Milanov. "
"Slaviša serbest bırakıldıktan sonra, memurların isteği üzerine polis karakolunda bıraktığı telefonunun garip bir şekilde hareket ettiğini fark etti-veriler ve Wi-Fi ayarları kapatıldı. Bunun bir işaret olabileceğinin farkında Hacking ve Sırbistan'daki gazetecilerin karşılaştığı gözetim tehditlerine dikkat eden Slaviša, telefonunun analizini talep etmek için Uluslararası Af Örgütü Güvenlik Laboratuvarı ile temasa geçti. "
Daha sonra, araştırmacılar Google'ın Tehdit Analiz Grubu'na (TAG) istismar artefaktları sağlayarak, Multimedya işlemini DSP çekirdeğine boşaltmak için kullanılan Qualcomm'un DSP (Dijital Sinyal İşlemci) sürücüsünde ('ADSPRPC') kusurları ortaya çıkarmaya yol açtı.
Google, hangi güvenlik açıklarının Novispy tarafından kullanıldığından emin olmasa da, kanıtlar casus yazılımın Android güvenlik mekanizmalarını atlamak ve kendini çekirdek düzeyine ısrarla kurmak için bir istismar zinciri kullandığını göstermektedir.
Af Örgütü Uluslararası Novispy'nin, cihazların fiziksel velayeti sırasında Cellebrite kilidini açma araçları kullanılarak bir telefon kilidi açıldıktan sonra Sırp Güvenlik Bilgi Ajansı (BIA) ve Sırp polisi tarafından konuşlandırıldığını bildirdi.
Kurcalanmış cihazlara ilişkin adli kanıtlara göre, araştırmacılar Cellebrite'ın Android telefonların kilidini açmak için Qualcomm sıfır günlerini sömürdüğüne inanıyorlar.
"Güvenlik Laboratuvarı, bu rapor için araştırma yaparken, cihazdaki ayrıcalıkları artırmak için kullanılan sıfır gün Android ayrıcalık artış güvenlik açığının tanımlanmasına yol açan adli kanıtlar da ortaya çıkardı. Sırbistan'dan bir aktivist, "Uluslararası Af Örgütü raporunu okuyor.
"Androidmaker Google'daki güvenlik araştırmacıları ile işbirliği içinde tanımlanan güvenlik açığı, dünya çapında milyonlarca Android cihazını etkileyen popüler Qualcomm yonga setlerini kullanarak çok sayıda Android cihazını etkiledi."
Spyware, doğrudan BIA'ya bağlı IP aralıklarında sunucularla iletişim kurarken, numunelerdeki yapılandırma verileri, ülkenin önceki casus yazılım tedarik programlarına bağlı belirli bir kişiyi tanımladı.
Hedefler arasında gazeteciler, insan hakları aktivistleri ve hükümet muhalifleri yer alıyor. Af raporunda belirtilen özel örnekler arasında Krokodil STK üyesi gazeteci Slaviša Milanov ve üç aktivist bulunmaktadır.
Bununla birlikte, Af Örgütü, teknik kanıtların Novispy'nin son birkaç yıldır Sırbistan'daki Android cihazlarının yüzlerce Android cihazına kurulduğunu gösterdiğini söylüyor.
İlk uzlaşma ile ilgili olarak, Uluslararası Af Örgütü, kurtarılan eserlerin, Wifi üzerinden ses veya LTE (Volte) işlevselliği gibi Android çağrı özelliklerinden yararlanan sıfır tıkaç saldırısına işaret ettiğini söylüyor.
Bunlar, Rich Communication Suite (RCS) çağrısının bir parçası olarak kullanılan incelenen uzlaştırılmış cihazlarda aktifti.
Uluslararası Af Örgütü Şüpheliler Bazı aktivistler, aşağıda gösterildiği gibi birçok basamaklı geçersiz telefon numaralarından telefon görüşmeleri alarak kullanılabilecek sıfır tıkaç Android güvenlik açığı kullanılarak hedeflenmiş olabilir.
Google'ın etiketi, Uluslararası Af Örgütü tarafından yakalanan istismarlar tarafından üretilen çekirdek panik günlükleri aldı ve Milyonlarca Android cihazında kullanılan Qualcomm'un ADSPRPC sürücüsünde altı güvenlik açıkını tanımlamak için geriye doğru çalıştı.
Altı kusur aşağıdaki gibi özetlenmiştir:
Google araştırmacıları, CVE-2024-43047'nin sömürülmesini doğruladılar ve geri kalanının karmaşık bir saldırı zincirinde kullanıldığını varsaydılar.
Yazma sırasında Qualcomm, Google'ın sorunu 145 gün önce bildirmiş olmasına rağmen, CVE-2024-49848 için bir yama yayınlamadı.
Google ayrıca Qualcomm'un, 90 günlük endüstri standartları boyunca CVE-2024-49848 ve CVE-2024-21455'i yamayı geciktirdiğini kaydetti.
BleepingComputer, altı kusurun durumunu sormak için Qualcomm ile temasa geçti ve bir sözcü aşağıdaki ifadeyi sağladı:
Qualcomm, BleepingComputer'a verdiği demeçte, "Sağlam güvenlik ve gizliliği desteklemeye çalışan teknolojiler geliştirmek Qualcomm teknolojileri için bir önceliktir." Dedi.
"Google Project Zero ve Uluslararası Af Örgütü Uluslararası Güvenlik Laboratuvarı'ndan araştırmacıları koordineli açıklama uygulamalarını kullanmak için övüyoruz. FASTRPC sürücü araştırmalarıyla ilgili olarak, Eylül 2024 itibariyle müşterilerimize düzeltmeler yapıldı. Son kullanıcıları güvenlik güncellemelerini uygulamaya teşvik ediyoruz. cihaz üreticilerinden edinilebilir. "
CVE-2024-49848 ile ilgili olarak Qualcomm, BleepingComputer'a bir düzeltmenin geliştirildiğini ve açıklama sürecinden geçtiğini ve ilgili güvenlik bülteninin Ocak 2025'te geldiğini söyledi.
Bir CVE tanımlayıcısından yoksun olan güvenlik açığı ile ilgili olarak Qualcomm, sorunun Eylül 2024'te CVE-2024-33060 düzeltmesi ile birlikte paketlendiğini ve dolayısıyla düzeltildiğini söyledi.
Güncelleme 12/16/24: Qualcomm'dan yaklaşan düzeltmeler hakkında yeni bilgiler eklendi.
Rus FSB tarafından ele geçirilen telefonda yeni android casus yazılım
Botnet Mirai Kötü Yazılımları Yüklemek İçin Geovision Sıfır Gününden Serbest Yazılıyor
Bilgisayar korsanları PTZ kameralarda kritik sıfır gün güvenlik açığını hedeflemek
Yeni Kritik Apache Struts Kusurlu Sunucular bulmak için sömürüldü
Rus siber yeni casus yazılımlarla Android kullanıcılarını hedeflemek
Kaynak: Bleeping Computer