Italienische Spyware-Firma hackt sich in iOS- und Android-Geräte, sagt Google

Die Threat Analysis Group (TAG) von Google hat den italienischen Anbieter RCS Lab als einen identifiziert Spyware Täter, die Werkzeuge entwickeln, die zur Ausbeutung verwendet werden Zero-Day Schwachstellen, um Angriffe auf mobile Benutzer von iOS und Android in Italien und Kasachstan durchzuführen.

Laut einem Google Blog-Post Am Donnerstag verwendet RCS Lab eine Kombination von Taktiken, einschließlich atypischer Drive-by-Downloads als Erstinfektionsvektoren. Das Unternehmen hat Tools entwickelt, um die privaten Daten der Zielgeräte auszuspionieren, heißt es in der Post.

Das in Mailand ansässige RCS Lab behauptet, Niederlassungen in Frankreich und Spanien zu haben, und hat auf seiner Website europäische Regierungsbehörden als seine Kunden aufgeführt. Es behauptet, „modernste technische Lösungen“ im Bereich des rechtmäßigen Abhörens zu liefern.

Das Unternehmen war für eine Stellungnahme nicht erreichbar und antwortete nicht auf E-Mail-Anfragen. In einer Erklärung zu Reuters, sagte RCS Lab: „Personal von RCS Lab ist weder exponiert noch nimmt es an Aktivitäten teil, die von relevanten Kunden durchgeführt werden.“

Auf seiner Website wirbt das Unternehmen damit, dass es „vollständige rechtmäßige Abhördienste mit täglich mehr als 10,000 abgefangenen Zielen allein in Europa“ anbietet.

Googles TAG sagte seinerseits, es habe Spyware-Kampagnen beobachtet, die Fähigkeiten nutzten, die es RCS Lab zuschreibt. Die Kampagnen beginnen mit einem eindeutigen Link, der an das Ziel gesendet wird und beim Anklicken versucht, den Benutzer dazu zu bringen, eine bösartige Anwendung herunterzuladen und auf Android- oder iOS-Geräten zu installieren.

Dies scheint in einigen Fällen durch die Zusammenarbeit mit dem ISP des Zielgeräts zu erfolgen, um die mobile Datenverbindung zu deaktivieren, sagte Google. Anschließend erhält der Benutzer per SMS einen Link zum Herunterladen der Anwendung, angeblich um die Datenkonnektivität wiederherzustellen.

Aus diesem Grund tarnen sich die meisten Anwendungen als Mobilfunkanbieter-Anwendungen. Wenn eine ISP-Einbindung nicht möglich ist, tarnen sich Anwendungen als Messaging apps.

Autorisierte Drive-by-Downloads

Definiert als Downloads, die Benutzer autorisieren, ohne die Konsequenzen zu verstehen, ist die „autorisierte Drive-by“-Technik eine wiederkehrende Methode, die verwendet wird, um sowohl iOS- als auch Android-Geräte zu infizieren, sagte Google.

Das RCS iOS Drive-by folgt den Apple-Anweisungen zum Vertrieb proprietärer Inhouse-Produkte apps zu Apple-Geräten, sagte Google. Es verwendet ITMS-Protokolle (IT Management Suite) und signiert nutzlasttragende Anwendungen mit einem Zertifikat von 3-1 Mobile, einem in Italien ansässigen Unternehmen, das im Apple Developer Enterprise-Programm registriert ist.

Die iOS-Payload ist in mehrere Teile zerlegt und nutzt vier öffentlich bekannte Exploits – LightSpeed, SockPuppet, TimeWaste, Avecesare – und zwei kürzlich identifizierte Exploits, die intern als Clicked2 und Clicked 3 bekannt sind.

Das Android-Drive-by beruht darauf, dass Benutzer die Installation einer Anwendung ermöglichen, die sich als legitime App tarnt und ein offizielles Samsung-Symbol anzeigt.

Um seine Nutzer zu schützen, hat Google Änderungen in Google Play Protect implementiert und Firebase-Projekte deaktiviert, die als C2 verwendet werden – die Befehls- und Kontrolltechniken, die für die Kommunikation mit betroffenen Geräten verwendet werden. Darüber hinaus hat Google einige Kompromittierungsindikatoren (IOC) in den Beitrag aufgenommen, um Android-Opfer zu warnen.