Италианската фирма за шпионски софтуер хаква устройства с iOS и Android, казва Google

Групата за анализ на заплахи (TAG) на Google идентифицира италианския доставчик RCS Lab като a шпионски софтуер нарушител, разработващ инструменти, които се използват за експлоатация Нулева-Day уязвимости за извършване на атаки срещу мобилни потребители на iOS и Android в Италия и Казахстан.

Според Google блог пост в четвъртък, RCS Lab използва комбинация от тактики, включително нетипични изтегляния с кола като първоначални вектори на инфекция. Компанията е разработила инструменти за шпиониране на личните данни на целевите устройства, се казва в публикацията.

Базираната в Милано RCS Lab твърди, че има филиали във Франция и Испания, и е посочила европейски правителствени агенции като свои клиенти на уебсайта си. Той твърди, че предоставя „авангардни технически решения“ в областта на законното прихващане.

Компанията не беше достъпна за коментар и не отговори на запитвания по имейл. В изявление до Ройтерс, RCS Lab каза: „Персоналът на RCS Lab не е изложен, нито участва в каквито и да било дейности, извършвани от съответните клиенти.

На своя уебсайт фирмата рекламира, че предлага „пълни законни услуги за прихващане, с повече от 10,000 XNUMX прихванати цели, обработвани ежедневно само в Европа“.

TAG на Google, от своя страна, заяви, че е наблюдавал кампании за шпионски софтуер, използващи възможности, които приписва на RCS Lab. Кампаниите произхождат от уникална връзка, изпратена до целта, която при щракване се опитва да накара потребителя да изтегли и инсталира злонамерено приложение на устройства с Android или iOS.

Изглежда, че в някои случаи това се прави чрез работа с интернет доставчика на целевото устройство за деактивиране на връзката за мобилни данни, каза Google. Впоследствие потребителят получава връзка за изтегляне на приложение чрез SMS, уж за възстановяване на връзката с данни.

Поради тази причина повечето от приложенията се маскират като приложения на мобилни оператори. Когато участието на ISP не е възможно, приложенията се маскират като съобщения apps.

Упълномощени изтегляния с кола

Дефинирана като изтегляния, които потребителите разрешават, без да разбират последствията, техниката „оторизирано шофиране от“ е повтарящ се метод, използван за заразяване както на iOS, така и на Android устройства, каза Google.

RCS iOS drive-by следва инструкциите на Apple за вътрешно разпространение на собствена собственост apps за устройства на Apple, каза Google. Той използва ITMS (ИТ пакет за управление) протоколи и подписва приложения, носещи полезен товар, със сертификат от 3-1 Mobile, базирана в Италия компания, записана в програмата Apple Developer Enterprise.

Полезният товар на iOS е разделен на множество части, като се използват четири публично известни експлойта – LightSpeed, SockPuppet, TimeWaste, Avecesare – и два наскоро идентифицирани експлойта, вътрешно известни като Clicked2 и Clicked 3.

Android drive-by разчита на това, че потребителите позволяват инсталиране на приложение, което се маскира като легитимно приложение, което показва официална икона на Samsung.

За да защити своите потребители, Google внедри промени в Google Play Protect и деактивира проекти на Firebase, използвани като C2 – техниките за командване и контрол, използвани за комуникация със засегнатите устройства. Освен това Google включи няколко индикатора за компромис (IOC) в публикацията, за да предупреди жертвите на Android.