Google mengatakan memiliki bukti bahwa vendor pengawasan komersial mengeksploitasi tiga kerentanan keamanan zero-day yang ditemukan di smartphone Samsung yang lebih baru.

Kerentanan, yang ditemukan dalam perangkat lunak buatan Samsung, digunakan bersama sebagai bagian dari rantai eksploitasi untuk menargetkan ponsel Samsung yang menjalankan Android. Kerentanan yang dirantai memungkinkan penyerang untuk mendapatkan hak baca dan tulis kernel sebagai pengguna root, dan pada akhirnya mengekspos data perangkat.

Peneliti keamanan Google Project Zero Maddie Stone mengatakan dalam sebuah posting blog bahwa rantai eksploitasi menargetkan ponsel Samsung dengan chip Exynos yang menjalankan versi kernel tertentu. Ponsel Samsung dijual dengan chip Exynos terutama di seluruh Eropa, Timur Tengah, dan Afrika, yang kemungkinan merupakan tempat target pengawasan berada.

Stone mengatakan ponsel Samsung yang menjalankan kernel yang terpengaruh pada saat itu termasuk S10, A50, dan A51.

Kekurangannya, sejak ditambal, dieksploitasi oleh aplikasi Android jahat, yang mungkin telah ditipu oleh pengguna untuk dipasang dari luar app store. Aplikasi jahat memungkinkan penyerang untuk keluar dari kotak pasir aplikasi yang dirancang untuk menampung aktivitasnya, dan mengakses seluruh sistem operasi perangkat. Hanya satu komponen dari aplikasi eksploit yang diperoleh, kata Stone, jadi tidak diketahui apa muatan akhirnya, bahkan jika ketiga kerentanan membuka jalan untuk pengiriman akhirnya.

“Kerentanan pertama dalam rantai ini, membaca dan menulis file sewenang-wenang, adalah dasar dari rantai ini, menggunakan empat waktu berbeda dan digunakan setidaknya sekali dalam setiap langkah,” tulis Stone. “Komponen Java di perangkat Android cenderung tidak menjadi target paling populer bagi peneliti keamanan meskipun berjalan pada tingkat yang istimewa,” kata Stone.

Google menolak menyebutkan nama vendor pengawasan komersial, tetapi mengatakan eksploitasi mengikuti pola yang mirip dengan infeksi perangkat baru-baru ini di mana aplikasi Android berbahaya disalahgunakan untuk mengirimkan spyware negara-bangsa yang kuat.

Awal tahun ini peneliti keamanan menemukan Hermit, sebuah spyware Android dan iOS yang dikembangkan oleh RCS Lab dan digunakan dalam serangan yang ditargetkan oleh pemerintah, dengan korban yang diketahui di Italia dan Kazakhstan. Hermit mengandalkan menipu target untuk mengunduh dan menginstal aplikasi jahat, seperti aplikasi bantuan operator seluler yang disamarkan, dari luar toko aplikasi, tetapi kemudian secara diam-diam mencuri kontak korban, rekaman audio, foto, video, dan data lokasi granular. Google mulai memberi tahu pengguna Android yang perangkatnya telah disusupi oleh Hermit. Vendor pengawasan Connexxa juga menggunakan aplikasi sideload berbahaya untuk menargetkan pemilik Android dan iPhone.

Google melaporkan tiga kerentanan ke Samsung pada akhir 2020, dan Samsung meluncurkan tambalan ke ponsel yang terpengaruh pada Maret 2021, tetapi tidak mengungkapkan pada saat kerentanan sedang dieksploitasi secara aktif. Stone mengatakan bahwa Samsung sejak itu berkomitmen untuk mulai mengungkapkan ketika kerentanan dieksploitasi secara aktif, mengikuti Apple dan Google, yang juga mengungkapkan dalam pembaruan keamanan mereka ketika kerentanan diserang.

“Analisis rantai eksploit ini telah memberi kami wawasan baru dan penting tentang bagaimana penyerang menargetkan perangkat Android,” tambah Stone, mengisyaratkan bahwa penelitian lebih lanjut dapat mengungkap kerentanan baru dalam perangkat lunak khusus yang dibuat oleh pembuat perangkat Android, seperti Samsung.

“Ini menyoroti perlunya penelitian lebih lanjut tentang komponen khusus pabrikan. Ini menunjukkan di mana kita harus melakukan analisis varian lebih lanjut,” kata Stone.