Pesquisadores do Google descobriram que hackers usaram as ferramentas da Variston, uma fornecedora de spyware desconhecida que foi revelada pela primeira vez pelo Google em novembro de 2022, em ataques de espionagem no Oriente Médio, mais especificamente nos Emirados Árabes Unidos (EAU).
Os hackers usaram um conjunto de vulnerabilidades para infectar usuários do navegador Android nativo da Samsung, enviando links maliciosos por SMS que redirecionavam os usuários para uma página idêntica àquela examinada pelo Google na estrutura Heliconia da Variston.
O ataque usava duas vulnerabilidades zero-day que ainda não haviam sido reportadas ao fabricante do software.
A exploração das vulnerabilidades permitia que o dispositivo fosse infectado com um spyware completo para Android, projetado para capturar dados de aplicativos de bate-papo e navegadores.
Os fundadores da Variston, Ralf Wegener e Ramanan Jayaraman, são proprietários da metade da empresa cada um desde 2018, segundo registros comerciais espanhóis. A empresa adquiriu a empresa italiana de pesquisa de zero-day Truel em 2018.
O ataque cibernético foi descoberto pelo Security Lab da Amnesty International, que observou a campanha ativa desde 2020 e disse que ela visava telefones celulares e computadores.
O ataque se estendia a mais de mil domínios maliciosos, incluindo domínios falsificados de sites de notícias em vários países.
O Google também divulgou ter encontrado hackers explorando uma falha zero-day no iOS para plantar spyware remotamente em dispositivos dos usuários.
A equipe de pesquisa do Google observou ataques que abusavam da falha de segurança como parte de uma cadeia de exploração, visando usuários de iPhone que executavam o iOS 15.1 e versões anteriores em Itália, Malásia e Cazaquistão.
O bug foi encontrado no mecanismo do navegador WebKit que alimenta o Safari e outros aplicativos. A falha foi descoberta e relatada pela equipe de pesquisadores do Google TAG.
A Apple corrigiu a falha em dezembro de 2022 e confirmou que a vulnerabilidade estava sendo ativamente explorada contra versões do iOS lançadas antes do iOS 15.1.
