Skupina pro analýzu hrozeb (TAG) společnosti Google identifikovala italského dodavatele RCS Lab jako a spyware pachatele, vyvíjející nástroje, které se používají ke zneužívání nulový den zranitelnosti při provádění útoků na mobilní uživatele iOS a Android v Itálii a Kazachstánu.
Podle Google blogu ve čtvrtek používá RCS Lab kombinaci taktiky, včetně atypického stahování z auta jako počátečního vektoru infekce. Společnost vyvinula nástroje pro špehování soukromých dat cílových zařízení, uvedl příspěvek.
RCS Lab se sídlem v Miláně tvrdí, že má pobočky ve Francii a Španělsku a na svých webových stránkách uvádí evropské vládní agentury jako své klienty. Tvrdí, že dodává „špičková technická řešení“ v oblasti zákonného odposlechu.
Společnost nebyla k dispozici pro vyjádření a nereagovala na e-mailové dotazy. V prohlášení k Reuters, RCS Lab řekl: "Zaměstnanci RCS Lab nejsou vystaveni ani se neúčastní žádných aktivit prováděných příslušnými zákazníky."
Na svých webových stránkách firma inzeruje, že nabízí „kompletní zákonné odposlechové služby s více než 10,000 XNUMX zachycenými cíli, které jsou denně zpracovány jen v Evropě“.
Společnost TAG společnosti Google uvedla, že sledovala spywarové kampaně využívající schopnosti, které připisuje RCS Lab. Kampaně pocházejí z unikátního odkazu zaslaného do cíle, na který se po kliknutí snaží přimět uživatele, aby si stáhl a nainstaloval škodlivou aplikaci na zařízení se systémem Android nebo iOS.
Zdá se, že se to v některých případech provádí spoluprací s ISP cílového zařízení na deaktivaci mobilního datového připojení, řekl Google. Následně uživatel obdrží prostřednictvím SMS odkaz na stažení aplikace, údajně pro obnovení datové konektivity.
Z tohoto důvodu se většina aplikací maskuje jako aplikace mobilních operátorů. Když zapojení ISP není možné, aplikace se maskují jako zasílání zpráv apps.
Autorizované stahování z drive-by
Technika „autorized drive by“, definovaná jako stahování, která uživatelé autorizují bez pochopení důsledků, je opakovanou metodou používanou k infikování zařízení iOS i Android, uvedl Google.
RCS iOS drive-by se řídí pokyny společnosti Apple pro vlastní distribuci v rámci firmy apps na zařízení Apple, uvedl Google. Využívá protokoly ITMS (IT management suite) a podepisuje nosné aplikace certifikátem od 3-1 Mobile, italské společnosti zapsané do programu Apple Developer Enterprise.
Užitná část iOS je rozdělena do několika částí, přičemž využívá čtyři veřejně známé exploity – LightSpeed, SockPuppet, TimeWaste, Avecesare – a dva nedávno identifikované exploity, interně známé jako Clicked2 a Clicked 3.
Android drive-by spoléhá na to, že uživatelé povolí instalaci aplikace, která se maskuje jako legitimní aplikace, která zobrazuje oficiální ikonu Samsung.
Aby Google ochránil své uživatele, implementoval změny v Google Play Protect a deaktivoval projekty Firebase používané jako C2 – techniky příkazů a řízení používané pro komunikaci s dotčenými zařízeními. Kromě toho Google do příspěvku zahrnul několik indikátorů kompromisu (IOC), aby varoval oběti Androidu.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba