Skupina pro analýzu hrozeb (TAG) společnosti Google identifikovala italského dodavatele RCS Lab jako a spyware pachatele, vyvíjející nástroje, které se používají ke zneužívání nulový den zranitelnosti při provádění útoků na mobilní uživatele iOS a Android v Itálii a Kazachstánu.
Podle Google blogu ve čtvrtek používá RCS Lab kombinaci taktiky, včetně atypického stahování z auta jako počátečního vektoru infekce. Společnost vyvinula nástroje pro špehování soukromých dat cílových zařízení, uvedl příspěvek.
RCS Lab se sídlem v Miláně tvrdí, že má pobočky ve Francii a Španělsku a na svých webových stránkách uvádí evropské vládní agentury jako své klienty. Tvrdí, že dodává „špičková technická řešení“ v oblasti zákonného odposlechu.
Společnost nebyla k dispozici pro vyjádření a nereagovala na e-mailové dotazy. V prohlášení k Reuters, RCS Lab řekl: "Zaměstnanci RCS Lab nejsou vystaveni ani se neúčastní žádných aktivit prováděných příslušnými zákazníky."
Na svých webových stránkách firma inzeruje, že nabízí „kompletní zákonné odposlechové služby s více než 10,000 XNUMX zachycenými cíli, které jsou denně zpracovány jen v Evropě“.
Společnost TAG společnosti Google uvedla, že sledovala spywarové kampaně využívající schopnosti, které připisuje RCS Lab. Kampaně pocházejí z unikátního odkazu zaslaného do cíle, na který se po kliknutí snaží přimět uživatele, aby si stáhl a nainstaloval škodlivou aplikaci na zařízení se systémem Android nebo iOS.
Zdá se, že se to v některých případech provádí spoluprací s ISP cílového zařízení na deaktivaci mobilního datového připojení, řekl Google. Následně uživatel obdrží prostřednictvím SMS odkaz na stažení aplikace, údajně pro obnovení datové konektivity.
Z tohoto důvodu se většina aplikací maskuje jako aplikace mobilních operátorů. Když zapojení ISP není možné, aplikace se maskují jako zasílání zpráv apps.
Autorizované stahování z drive-by
Technika „autorized drive by“, definovaná jako stahování, která uživatelé autorizují bez pochopení důsledků, je opakovanou metodou používanou k infikování zařízení iOS i Android, uvedl Google.
RCS iOS drive-by se řídí pokyny společnosti Apple pro vlastní distribuci v rámci firmy apps na zařízení Apple, uvedl Google. Využívá protokoly ITMS (IT management suite) a podepisuje nosné aplikace certifikátem od 3-1 Mobile, italské společnosti zapsané do programu Apple Developer Enterprise.
Užitná část iOS je rozdělena do několika částí, přičemž využívá čtyři veřejně známé exploity – LightSpeed, SockPuppet, TimeWaste, Avecesare – a dva nedávno identifikované exploity, interně známé jako Clicked2 a Clicked 3.
Android drive-by spoléhá na to, že uživatelé povolí instalaci aplikace, která se maskuje jako legitimní aplikace, která zobrazuje oficiální ikonu Samsung.
Aby Google ochránil své uživatele, implementoval změny v Google Play Protect a deaktivoval projekty Firebase používané jako C2 – techniky příkazů a řízení používané pro komunikaci s dotčenými zařízeními. Kromě toho Google do příspěvku zahrnul několik indikátorů kompromisu (IOC), aby varoval oběti Androidu.