Η Ομάδα Ανάλυσης Απειλών (TAG) της Google λέει ότι οι φορείς απειλών που υποστηρίζονται από το κράτος χρησιμοποίησαν πέντε τρωτά σημεία zero-day για να εγκαταστήσουν το λογισμικό κατασκοπείας Predator που αναπτύχθηκε από την εταιρεία ανάπτυξης εμπορικής επιτήρησης Cytrox.
Σε αυτές τις επιθέσεις, μέρος τριών καμπανιών που ξεκίνησαν μεταξύ Αυγούστου και Οκτωβρίου 2021, οι εισβολείς χρησιμοποίησαν εκμεταλλεύσεις zero-day που στοχεύουν το Chrome και το λειτουργικό σύστημα Android για να εγκαταστήσουν εμφυτεύματα spyware Predator σε πλήρως ενημερωμένες συσκευές Android.
“Αξιολογούμε με μεγάλη σιγουριά ότι αυτά τα exploits συσκευάστηκαν από μια ενιαία εταιρεία εμπορικής επιτήρησης, τη Cytrox, και πωλήθηκαν σε διαφορετικούς υποστηριζόμενους από την κυβέρνηση φορείς που τα χρησιμοποίησαν τουλάχιστον στις τρεις καμπάνιες που αναφέρονται παρακάτω”, είπαν τα μέλη της Google TAG, Clement Lecigne και Christian Resell. .
Οι κακόβουλοι φορείς που υποστηρίζονται από την κυβέρνηση που αγόρασαν και χρησιμοποίησαν αυτά τα exploits για να μολύνουν στόχους Android με spyware είναι από την Αίγυπτο, την Αρμενία, την Ελλάδα, τη Μαδαγασκάρη, την Ακτή Ελεφαντοστού, τη Σερβία, την Ισπανία και την Ινδονησία, σύμφωνα με την ανάλυση της Google.
Αυτά τα ευρήματα ευθυγραμμίζονται με μια έκθεση για το μισθοφόρο spyware Cytrox που δημοσιεύτηκε από το CitizenLab τον Δεκέμβριο του 2021, όταν οι ερευνητές του ανακάλυψαν το κακόβουλο εργαλείο στο τηλέφωνο του εξόριστου Αιγύπτιου πολιτικού Ayman Nour.
Το τηλέφωνο της Νουρ μολύνθηκε επίσης με το λογισμικό κατασκοπείας Pegasus της NSO Group, με τα δύο εργαλεία να λειτουργούν από δύο διαφορετικούς κυβερνητικούς πελάτες, σύμφωνα με την αξιολόγηση του CitizenLab.