Η Ομάδα Ανάλυσης Απειλών της Google παρακολουθεί τις δραστηριότητες του εμπορικού Spyware εδώ και αρκετά χρόνια. Αυτά τα εργαλεία hacking πωλούνται από τουλάχιστον 30 εταιρείες σε εγκληματίες και κυβερνήσεις που κατασκοπεύουν αντιφρονούντες, δημοσιογράφους ή πολιτικούς. Σε δύο πρόσφατες εκστρατείες, αξιοποιήθηκαν πολυάριθμες ευπάθειες zero-day στο Android, το iOS και το Chrome για να χτυπηθούν συγκεκριμένοι στόχοι σε διάφορες χώρες.
Η πρώτη εκστρατεία Spyware ανακαλύφθηκε τον Νοέμβριο και εκμεταλλεύεται μια σειρά από ευπάθειες zero-day στο Android και το iOS. Η αλυσίδα μόλυνσης ξεκινά με την αποστολή ενός SMS με έναν σύνδεσμο bit.ly που παραπέμπει σε μια μολυσμένη σελίδα, προτού αντικατασταθεί με τον νόμιμο ιστότοπο.
Στην περίπτωση του iOS, γίνεται εκμετάλλευση των ευπαθειών CVE-2022-42856 και CVE-2021-30900 που υπάρχουν στις εκδόσεις 15.1 και παλαιότερες του λειτουργικού συστήματος. Η πρώτη επιτρέπει την εκτέλεση απομακρυσμένου κώδικα όταν ο χρήστης επισκέπτεται μια μολυσμένη τοποθεσία με το Safari. Το σφάλμα χρησιμοποιήθηκε από το spyware Predator της Cytrox. Το δεύτερο επιτρέπει την παράκαμψη του sandbox. Ο απώτερος στόχος είναι η ανακάλυψη της γεωγραφικής θέσης της συσκευής και η εγκατάσταση εφαρμογών.
Στην περίπτωση του Android, γίνεται εκμετάλλευση των ευπαθειών CVE-2022-3723, CVE-2022-4135 και CVE-2022-38181 που βρέθηκαν σε smartphones με ARM GPU που τρέχουν εκδόσεις Chrome πριν από την 106. Η Google, ωστόσο, ανακάλυψε το τελικό payload.
Η δεύτερη εκστρατεία Spyware ανακαλύφθηκε τον Δεκέμβριο και εκμεταλλεύεται μια σειρά ευπαθειών στον Internet Browser της Samsung, που βασίζεται στο Chromium 102: CVE-2022-4262, CVE-2022-3038, CVE-2022-22706 και CVE-2023-0266. Σε αυτή την περίπτωση, οι στόχοι ήταν χρήστες στα Ηνωμένα Αραβικά Εμιράτα. Τα exploits χρησιμοποιήθηκαν πιθανότατα από το spyware Heliconia της Variston.
