Apple e o Google já alertaram os usuários sobre empresas que vendem spyware direcionado a dispositivos móveis. Um novo relatório do Google detalha o spyware comercial de uma empresa de Barcelona direcionado aos PCs por meio de navegadores e antivírus do Windows. As vulnerabilidades que eles exploram já estão corrigidas – outro sinal de que os usuários devem manter seus softwares atualizados.
O Grupo de Análise de Ameaças (TAG) do Google relata que uma empresa de Barcelona vendeu spyware explorando as vulnerabilidades do Chrome, Firefox e Windows Defender para conduzir vigilância contratual em PCs de destino.
As vulnerabilidades eram de dia zero quando a empresa as explorou, mas Google, Mozilla e Microsoft as corrigiram em 2021 e no início de 2022.
A Variston IT se autodenomina fornecedora de soluções de segurança personalizadas, mas o Google pensa que é uma empresa de vigilância comercial.
O relatório o compara a entidades como a RCS Labs e o NSO Group, que vendiam ferramentas que permitiam aos governos espionar dispositivos pertencentes a jornalistas, dissidentes e diplomatas. O código de um relatório de bug anônimo detalhando as explorações apontou o Google para Variston.
Uma estrutura da web chamada Heliconia Noise explorou uma vulnerabilidade do renderizador Chrome nas versões 90.0.4430.72 (abril de 2021) a 91.0.4472.106 (junho de 2021). Ele pode executar a execução remota de código e escapar da caixa de proteção do Chrome para o sistema operacional do usuário. O Google corrigiu a exploração em agosto de 2021.
Variston pode atacar o Windows Defender – o antivírus padrão para Windows 10 e 11 – por meio de um arquivo PDF contendo um exploit.
O PDF seria implantado quando os usuários visitassem um URL infectado, acionando uma verificação do Windows Defender e iniciando a cadeia de infecção. A Microsoft corrigiu a exploração em novembro de 2021.
Por fim, a Heliconia Files usou uma cadeia de exploração do Windows e do Linux Firefox para executar a execução remota de código no navegador da Mozilla. A versão do Windows continha uma fuga de sandbox que o Mozilla corrigiu em 2019. Outras partes do pacote malicioso foram relatadas em março de 2022, mas podem estar em uso desde dezembro de 2018.
Embora as explorações no último relatório da TAG não ameacem mais os sistemas totalmente atualizados, os usuários preocupados devem estar cientes das informações que podem ter vazado no final do ano passado e no início deste ano.
As descobertas provam que o setor de vigilância comercial está crescendo à medida que os detentores de plataformas lutam contra essas empresas.
Em novembro passado, a Apple processou o NSO Group e sua empresa controladora por implantar spyware encontrado nos iPhones de diplomatas americanos.
A empresa de Cupertino também introduziu um Modo de Bloqueio que desativou recursos específicos do iPhone para combater spyware, mas pode derrotar o objetivo tornando os telefones mais fáceis de identificar.
Leia também: Aplicativo com malware com 100.000 downloads é pego roubando senhas