Grupo NSO adiciona ataque com zero clique de 'impressão digital MMS' ao arsenal de spyware

Um pesquisador da empresa sueca de telecomunicações e segurança cibernética Enea descobriu uma tática até então desconhecida que o Grupo NSO de Israel disponibilizou para uso em campanhas para lançar sua notória ferramenta de spyware móvel Pegasus em dispositivos móveis pertencentes a indivíduos visados ​​em todo o mundo.

O investigador descobriu a técnica ao analisar uma entrada intitulada “MMS Fingerprint” num contrato entre um revendedor do Grupo NSO e o regulador de telecomunicações do Gana.

O contrato fazia parte de documentos judiciais disponíveis publicamente associados a um processo de 2019 envolvendo o WhatsApp e o Grupo NSO, sobre a exploração deste último de uma falha do WhatsApp para implantar o Pegasus em dispositivos pertencentes a jornalistas, activistas dos direitos humanos, advogados e outros em todo o mundo.

Perfil de dispositivo Zero-Click para Pegasus

O contrato descrevia o MMS Fingerprint como algo que um cliente NSO poderia usar para obter detalhes sobre um dispositivo alvo BlackBerry, Android ou iOS e sua versão do sistema operacional, simplesmente enviando uma mensagem de Serviço de Mensagens Multimídia (MMS) para ele.

“Nenhuma interação do usuário, envolvimento ou abertura de mensagem é necessária para receber a impressão digital do dispositivo”, observou o contrato.

Em uma postagem no blog na semana passada, O pesquisador da Enea, Cathal McDaid, disse que decidiu investigar essa referência porque “impressão digital MMS” não era um termo conhecido na indústria.

“Embora devamos sempre considerar que o Grupo NSO pode estar simplesmente a ‘inventar’ ou a exagerar as capacidades que afirma ter (na nossa experiência, as empresas de vigilância regularmente prometem demasiado as suas capacidades), o facto de isto estar num contrato e não num anúncio sugere que era mais provável que fosse real”, escreveu McDaid.

Impressão digital devido a problema com o fluxo MMS

A investigação de McDaid rapidamente o levou a concluir que a técnica mencionada no contrato do Grupo NSO provavelmente tinha a ver com o fluxo MMS em si, e não com quaisquer vulnerabilidades específicas do sistema operacional.

O fluxo normalmente começa com o dispositivo do remetente enviando inicialmente uma mensagem MMS para o Centro MMS do remetente (MMSC). O MMSC do remetente então encaminha essa mensagem para o MMSC do destinatário, que notifica o dispositivo destinatário sobre a mensagem MMS em espera. O dispositivo destinatário então recupera a mensagem de seu MMSC, escreveu McDaid.

Como os desenvolvedores do MMS o introduziram numa época em que nem todos os dispositivos móveis eram compatíveis com o serviço, eles decidiram usar um tipo especial de SMS (chamado “WSP Push”) como forma de notificar os dispositivos destinatários sobre mensagens MMS pendentes no MMSC do destinatário. A solicitação de recuperação subsequente não é realmente um MMS, mas uma solicitação HHTP GET enviada para um URL de conteúdo listado em um campo de localização de conteúdo na notificação, escreveu o pesquisador.

“O interessante aqui é que neste HTTP GET, as informações do dispositivo do usuário estão incluídas”, escreveu ele. McDaid concluiu que provavelmente foi assim que o Grupo NSO obteve as informações do dispositivo alvo.

McDaid testou sua teoria usando alguns cartões SIM de amostra de uma operadora de telecomunicações da Europa Ocidental e, após algumas tentativas e erros, conseguiu obter informações do UserAgent dos dispositivos de teste e informações do cabeçalho HTTP, que descreviam os recursos do dispositivo. Ele concluiu que os atores do Grupo NSO poderiam usar as informações para explorar vulnerabilidades específicas em sistemas operacionais móveis ou para adaptar o Pegasus e outras cargas maliciosas aos dispositivos alvo.

“Ou poderia ser usado para ajudar a criar campanhas de phishing contra humanos que usam o dispositivo de forma mais eficaz”, observou ele.

McDaid disse que suas investigações nos últimos meses não revelaram nenhuma evidência de alguém explorando a técnica na natureza até agora.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/application-security/nso-group-adds-mms-fingerprinting-zero-click-attack-spyware-arsenal