Italiensk spywarefirma hacker sig ind på iOS- og Android-enheder, siger Google

Googles Threat Analysis Group (TAG) har identificeret den italienske leverandør RCS Lab som en spyware gerningsmanden, udvikler værktøjer, der bliver brugt til at udnytte zero-day sårbarheder til at udføre angreb på iOS- og Android-mobilbrugere i Italien og Kasakhstan.

Ifølge en Google blogindlæg på torsdag bruger RCS Lab en kombination af taktikker, herunder atypiske drive-by-downloads som indledende infektionsvektorer. Virksomheden har udviklet værktøjer til at spionere på de private data på de målrettede enheder, hedder det i posten.

Milano-baserede RCS Lab hævder at have tilknyttede virksomheder i Frankrig og Spanien, og har opført europæiske regeringsagenturer som sine kunder på sin hjemmeside. Det hævder at levere "banebrydende tekniske løsninger" inden for lovlig aflytning.

Virksomheden var ikke tilgængelig for kommentarer og svarede ikke på e-mail-forespørgsler. I en udtalelse til ReutersRCS Lab sagde, "RCS Labs personale bliver ikke eksponeret og deltager ikke i nogen aktiviteter udført af de relevante kunder."

På sin hjemmeside annoncerer firmaet, at det tilbyder "komplette lovlige aflytningstjenester, med mere end 10,000 opsnappede mål håndteret dagligt i Europa alene."

Googles TAG sagde på sin side, at det har observeret spyware-kampagner, der bruger funktioner, som det tilskriver RCS Lab. Kampagnerne stammer fra et unikt link sendt til målet, som, når der klikkes på dem, forsøger at få brugeren til at downloade og installere en ondsindet applikation på enten Android- eller iOS-enheder.

Dette ser ud til at blive gjort, i nogle tilfælde, ved at arbejde med målenhedens internetudbyder for at deaktivere mobildataforbindelse, sagde Google. Efterfølgende modtager brugeren et link til download af applikationer via SMS, angiveligt for at gendanne dataforbindelse.

Af denne grund forklæder de fleste af applikationerne sig som mobiloperatørapplikationer. Når ISP-involvering ikke er mulig, udgiver applikationer sig som beskeder apps.

Autoriseret drive-by downloads

Defineret som downloads, som brugere godkender uden at forstå konsekvenserne, har "autoriseret drive by"-teknikken været en tilbagevendende metode, der bruges til at inficere både iOS- og Android-enheder, sagde Google.

RCS iOS drive-by følger Apple instruktioner til distribution af proprietær internt apps til Apple-enheder, sagde Google. Den bruger ITMS-protokoller (IT Management Suite) og signerer nyttelastbærende applikationer med et certifikat fra 3-1 Mobile, en Italien-baseret virksomhed, der er tilmeldt Apple Developer Enterprise-programmet.

iOS-nyttelasten er opdelt i flere dele og udnytter fire offentligt kendte udnyttelser – LightSpeed, SockPuppet, TimeWaste, Avecesare – og to nyligt identificerede udnyttelser, internt kendt som Clicked2 og Clicked 3.

Android drive-by er afhængig af, at brugerne muliggør installation af en applikation, der forklæder sig som en legitim app, der viser et officielt Samsung-ikon.

For at beskytte sine brugere har Google implementeret ændringer i Google Play Protect og deaktiveret Firebase-projekter, der bruges som C2 – kommando- og kontrolteknikkerne, der bruges til kommunikation med berørte enheder. Derudover har Google indrulleret et par indikatorer for kompromis (IOC) i indlægget for at advare Android-ofre.