A Samsung egyedi fejlesztésű szoftverében fedezett fel sebezhetőségeket a Google. Az Androidot gyártó cég szerint ezeket a hibákat egy kémszoftvereket gyártó cég ki is használta: a kódban lévő sebezhetőségek lehetővé teszik a támadó számára, hogy root felhasználóként kernel olvasási és írási jogosultságokat szerezzen, és végül felfedje a készülék adatait.
Maddie Stone, a Google Project Zero biztonsági kutatója blogbejegyzésében elmondta, hogy az exploit-lánc egy bizonyos kernelváltozatot futtató Exynos chippel rendelkező Samsung telefonokat céloz meg. Az ilyen készülékeket elsősorban Európában, a Közel-Keleten és Afrikában árulják, valószínűleg itt vannak a megfigyelés célpontjai. Stone szerint az érintett kernelt futtató Samsung-telefonok közé tartozik az S10, az A50 és az A51.
A hibákat, amelyeket azóta befoltoztak, egy rosszindulatú Android-alkalmazás használta ki, amelyet a alkalmazásbolton kívülről telepíthettek rászedve a felhasználókat. A rosszindulatú alkalmazás lehetővé tette a támadó számára, hogy hozzáférjen szinte minden adathoz, amit az eszközökön tároltak.
A Google nem kívánta megnevezni a kémszoftvert gyártó céget, de elmondta, hogy a kihasználás a közelmúltbeli eszközfertőzésekhez hasonló mintát követ, ahol rosszindulatú Android-alkalmazásokkal visszaélve nagy teljesítményű állami megfigyelési célokra használt kémprogramokat juttattak célba.
Az év elején biztonsági kutatók felfedezték az RCS Lab által kifejlesztett Hermit nevű Android és iOS kémprogramot, amelyet kormányok célzott támadásokban használtak, és amelynek ismert áldozatai Olaszországban és Kazahsztánban voltak. A Hermit arra épül, hogy a célpontot rászedi arra, hogy az alkalmazásbolton kívülről töltse le és telepítse a rosszindulatú alkalmazást, például egy álcázott mobilszolgáltatói segítségnyújtó alkalmazást, de ezután csendben ellopja az áldozat névjegyeit, hangfelvételeit, fényképeit, videóit és a pontos helymeghatározási adatait.
A Connexxa nevű felügyeleti szolgáltató szintén rosszindulatú, oldalletöltött alkalmazásokat használt az Android- és iPhone-tulajdonosok megcélzására. A leghíresebb pedig a Pegasust gyártó NSO Group volt.
A Google 2020 végén jelentette a három sebezhetőséget a Samsungnak, és a Samsung 2021 márciusában ki is terjesztette a javításokat az érintett telefonokra, de akkoriban nem hozta nyilvánosságra, hogy a sebezhetőségeket aktívan kihasználják – írja a Techcrunch.