حددت مجموعة تحليل التهديدات (TAG) التابعة لشركة Google المورّد الإيطالي RCS Lab باعتباره أحد برامج التجسس الجاني ، تطوير الأدوات التي يتم استخدامها للاستغلال صفر اليوم نقاط الضعف للتأثير على الهجمات على مستخدمي أجهزة iOS و Android في إيطاليا وكازاخستان.
وفقا لجوجل بلوق وظيفة في يوم الخميس ، يستخدم RCS Lab مجموعة من التكتيكات ، بما في ذلك التنزيلات غير النمطية كنواقل إصابة أولية. وقال المنشور إن الشركة طورت أدوات للتجسس على البيانات الخاصة للأجهزة المستهدفة.
يدعي RCS Lab ومقره ميلانو أن لديه شركات تابعة في فرنسا وإسبانيا ، وقد أدرج الوكالات الحكومية الأوروبية كعملاء له على موقعه على الإنترنت. تدعي أنها تقدم "حلول تقنية متطورة" في مجال الاعتراض القانوني.
لم تكن الشركة متاحة للتعليق ولم ترد على استفسارات البريد الإلكتروني. في بيان ل رويترز، قال RCS Lab ، "لا يتعرض موظفو RCS Lab ولا يشاركون في أي أنشطة يقوم بها العملاء المعنيون."
تعلن الشركة على موقعها الإلكتروني أنها تقدم "خدمات اعتراض قانونية كاملة ، مع أكثر من 10,000 هدف معترض يتم التعامل معها يوميًا في أوروبا وحدها".
من جانبها ، قالت TAG من Google إنها لاحظت حملات تجسس باستخدام القدرات التي تنسبها إلى RCS Lab. تنشأ الحملات برابط فريد يتم إرساله إلى الهدف ، والذي ، عند النقر عليه ، يحاول حث المستخدم على تنزيل تطبيق ضار وتثبيته على أجهزة Android أو iOS.
قالت جوجل إنه يبدو أن هذا يتم ، في بعض الحالات ، من خلال العمل مع مزود خدمة الإنترنت للجهاز المستهدف لتعطيل اتصال بيانات الهاتف المحمول. بعد ذلك ، يتلقى المستخدم رابط تنزيل التطبيق عبر الرسائل القصيرة ، ظاهريًا لاستعادة اتصال البيانات.
لهذا السبب ، تتنكر معظم التطبيقات في شكل تطبيقات شركة اتصالات متنقلة. عندما تكون مشاركة مزود خدمة الإنترنت غير ممكنة ، تتنكر التطبيقات في شكل رسائل apps.
التنزيلات المرخصة من السيارة
قالت Google ، التي تم تعريفها على أنها التنزيلات التي يأذن بها المستخدمون دون فهم العواقب ، أن تقنية "القيادة المصرح بها" كانت طريقة متكررة تستخدم لإصابة كل من أجهزة iOS و Android.
يتبع محرك RCS iOS تعليمات Apple لتوزيع الملكية داخل الشركة apps إلى أجهزة آبل ، قالت جوجل. تستخدم بروتوكولات ITMS (مجموعة إدارة تكنولوجيا المعلومات) وتوقع التطبيقات الحاملة بشهادة من 3-1 Mobile ، وهي شركة مقرها إيطاليا مسجلة في برنامج Apple Developer Enterprise.
يتم تقسيم حمولة iOS إلى أجزاء متعددة ، والاستفادة من أربع مآثر معروفة للجمهور - LightSpeed و SockPuppet و TimeWaste و Avecesare - واثنان من عمليات الاستغلال التي تم تحديدها مؤخرًا والمعروفة داخليًا باسم Clicked2 و Clicked 3.
يعتمد Android drive-by على تمكين المستخدمين من تثبيت تطبيق يتنكر في شكل تطبيق شرعي يعرض أيقونة Samsung الرسمية.
لحماية مستخدميها ، نفذت Google تغييرات في Google Play Protect وتعطيل مشاريع Firebase المستخدمة كـ C2 - تقنيات القيادة والتحكم المستخدمة في الاتصالات مع الأجهزة المتأثرة. بالإضافة إلى ذلك ، أدرجت Google بعض مؤشرات الاختراق (IOC) في المنشور لتحذير ضحايا Android.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba