Італьянская фірма-шпіёнская кампанія ўзломвае прылады iOS і Android, кажа Google

Група аналізу пагроз Google (TAG) вызначыла італьянскага пастаўшчыка RCS Lab як а шпіёнскага злачынца, распрацоўваючы інструменты, якія выкарыстоўваюцца для эксплуатацыі Zero-Day уразлівасці для атак на мабільных карыстальнікаў iOS і Android у Італіі і Казахстане.

Па дадзеных Google блог у чацвер лабараторыя RCS выкарыстоўвае камбінацыю тактык, у тым ліку нетыповыя спампоўкі з праезду ў якасці першапачатковых пераносчыкаў заражэння. Кампанія распрацавала інструменты для шпіянажу за прыватнымі дадзенымі мэтавых прылад, гаворыцца ў паведамленні.

Міланская лабараторыя RCS Lab сцвярджае, што мае філіялы ў Францыі і Іспаніі, і пералічыла еўрапейскія дзяржаўныя ўстановы ў якасці сваіх кліентаў на сваім сайце. Ён сцвярджае, што прапануе «сучасныя тэхнічныя рашэнні» ў галіне законнага перахопу.

Кампанія была недаступная для каментароў і не адказвала на запыты электроннай пошты. У заяве да Reuters, сказаў RCS Lab: «Персанал RCS Lab не падвяргаецца ўздзеянню і не ўдзельнічае ў любых мерапрыемствах, якія праводзяцца адпаведнымі кліентамі».

На сваім вэб-сайце фірма рэкламуе, што прапануе «поўныя законныя паслугі перахопу, з больш чым 10,000 XNUMX перахопленых мэтаў штодня толькі ў Еўропе».

TAG Google, са свайго боку, заявіў, што назіраў за кампаніямі-шпіёнамі, якія выкарыстоўвалі магчымасці, якія ён прыпісвае RCS Lab. Кампаніі пачынаюцца з унікальнай спасылкі, адпраўленай на мэта, якая пры націску спрабуе прымусіць карыстальніка загрузіць і ўсталяваць шкоднаснае прыкладанне на прыладах Android або iOS.

Здаецца, у некаторых выпадках гэта робіцца шляхам працы з інтэрнэт-правайдэрам мэтавай прылады, каб адключыць мабільнае падключэнне да перадачы дадзеных, сказаў Google. Пасля, карыстальнік атрымлівае спасылку на загрузку прыкладання праз SMS, нібыта для аднаўлення падключэння да дадзеных.

Па гэтай прычыне большасць прыкладанняў маскіруецца пад прыкладання мабільных аператараў. Калі ўдзел ISP немагчымы, прыкладання маскіруюцца пад абмен паведамленнямі apps.

Аўтарызаваныя загрузкі

Тэхніка «аўтарызаванага праезду», вызначаная як спампоўкі, якія карыстальнікі санкцыянуюць, не разумеючы наступстваў, была перыядычным метадам, які выкарыстоўваецца для заражэння прылад як iOS, так і Android, паведамляе Google.

RCS iOS Drive-by выконвае інструкцыі Apple для распаўсюджвання ўласнага ўласнага apps на прылады Apple, сказаў Google. Ён выкарыстоўвае пратаколы ITMS (пакет кіравання ІТ) і падпісвае прыкладанні, якія нясуць карысную нагрузку, сертыфікатам 3-1 Mobile, італьянскай кампаніі, якая ўдзельнічае ў праграме Apple Developer Enterprise.

Карысная нагрузка iOS разбіта на некалькі частак з выкарыстаннем чатырох агульнавядомых эксплойтаў — LightSpeed, SockPuppet, TimeWaste, Avecesare — і двух нядаўна выяўленых эксплойтаў, унутрана вядомых як Clicked2 і Clicked 3.

Android Drive-by абапіраецца на тое, што карыстальнікі дазваляюць усталяваць прыкладанне, якое маскіруецца пад легітымнае прыкладанне, якое адлюстроўвае афіцыйны значок Samsung.

Каб абараніць сваіх карыстальнікаў, Google унесла змены ў Google Play Protect і адключыла праекты Firebase, якія выкарыстоўваюцца як C2 — метады кіравання і кіравання, якія выкарыстоўваюцца для сувязі з закранутымі прыладамі. Акрамя таго, Google залічыў некалькі індыкатараў кампрамісу (IOC) у паведамленні, каб папярэдзіць ахвяр Android.