Η ιταλική εταιρεία spyware εισβάλλει σε συσκευές iOS και Android, λέει η Google

Η Ομάδα Ανάλυσης Απειλών (TAG) της Google έχει προσδιορίσει τον Ιταλό προμηθευτή RCS Lab ως α spyware δράστη, αναπτύσσοντας εργαλεία που χρησιμοποιούνται για την εκμετάλλευση Zero-Day ευπάθειες για επιθέσεις σε χρήστες κινητών iOS και Android στην Ιταλία και το Καζακστάν.

Σύμφωνα με μια Google ανάρτηση Την Πέμπτη, το RCS Lab χρησιμοποιεί έναν συνδυασμό τακτικών, συμπεριλαμβανομένων των άτυπων λήψεων μέσω οδήγησης ως αρχικών φορέων μόλυνσης. Η εταιρεία έχει αναπτύξει εργαλεία για να κατασκοπεύει τα προσωπικά δεδομένα των στοχευμένων συσκευών, ανέφερε η ανάρτηση.

Η RCS Lab με έδρα το Μιλάνο ισχυρίζεται ότι έχει θυγατρικές στη Γαλλία και την Ισπανία και έχει καταχωρίσει ευρωπαϊκές κρατικές υπηρεσίες ως πελάτες στον ιστότοπό της. Ισχυρίζεται ότι παρέχει «τεχνικές λύσεις αιχμής» στον τομέα των νόμιμων υποκλοπών.

Η εταιρεία δεν ήταν διαθέσιμη για σχόλια και δεν απάντησε σε ερωτήματα ηλεκτρονικού ταχυδρομείου. Σε δήλωση προς Reuters, είπε η RCS Lab, «Το προσωπικό της RCS Lab δεν εκτίθεται ούτε συμμετέχει σε δραστηριότητες που διεξάγονται από τους σχετικούς πελάτες».

Στον ιστότοπό της, η εταιρεία διαφημίζει ότι προσφέρει «πλήρες νόμιμες υπηρεσίες υποκλοπής, με περισσότερους από 10,000 αναχαιτισμένους στόχους που αντιμετωπίζονται καθημερινά μόνο στην Ευρώπη».

Η TAG της Google, από την πλευρά της, δήλωσε ότι έχει παρατηρήσει καμπάνιες spyware χρησιμοποιώντας δυνατότητες που αποδίδει στο RCS Lab. Οι καμπάνιες προέρχονται από έναν μοναδικό σύνδεσμο που αποστέλλεται στον στόχο, ο οποίος, όταν τον κάνει κλικ, επιχειρεί να κάνει τον χρήστη να κατεβάσει και να εγκαταστήσει μια κακόβουλη εφαρμογή σε συσκευές Android ή iOS.

Αυτό φαίνεται να γίνεται, σε ορισμένες περιπτώσεις, με τη συνεργασία με τον ISP της συσκευής-στόχου για την απενεργοποίηση της συνδεσιμότητας δεδομένων κινητής τηλεφωνίας, είπε η Google. Στη συνέχεια, ο χρήστης λαμβάνει έναν σύνδεσμο λήψης εφαρμογής μέσω SMS, φαινομενικά για ανάκτηση συνδεσιμότητας δεδομένων.

Για το λόγο αυτό, οι περισσότερες από τις εφαρμογές μεταμφιέζονται ως εφαρμογές κινητής τηλεφωνίας. Όταν η συμμετοχή ISP δεν είναι δυνατή, οι εφαρμογές μεταμφιέζονται σε μηνύματα apps.

Εξουσιοδοτημένες λήψεις μέσω Drive

Καθορισμένη ως λήψεις που εξουσιοδοτούν οι χρήστες χωρίς να κατανοούν τις συνέπειες, η τεχνική «εξουσιοδοτημένη μετάδοση μέσω» είναι μια επαναλαμβανόμενη μέθοδος που χρησιμοποιείται για τη μόλυνση τόσο συσκευών iOS όσο και Android, είπε η Google.

Το RCS iOS drive-by ακολουθεί τις οδηγίες της Apple για τη διανομή ιδιόκτητων εσωτερικών προϊόντων apps σε συσκευές Apple, είπε η Google. Χρησιμοποιεί πρωτόκολλα ITMS (σουίτα διαχείρισης IT) και υπογράφει εφαρμογές που φέρουν ωφέλιμο φορτίο με πιστοποιητικό από την 3-1 Mobile, μια εταιρεία με έδρα την Ιταλία που είναι εγγεγραμμένη στο πρόγραμμα Apple Developer Enterprise.

Το ωφέλιμο φορτίο iOS χωρίζεται σε πολλά μέρη, αξιοποιώντας τέσσερα δημόσια γνωστά exploit—LightSpeed, SockPuppet, TimeWaste, Avecesare—και δύο πρόσφατα αναγνωρισμένα exploit, εσωτερικά γνωστά ως Clicked2 και Clicked 3.

Το Android drive-by βασίζεται στους χρήστες που επιτρέπουν την εγκατάσταση μιας εφαρμογής που μεταμφιέζεται ως νόμιμη εφαρμογή που εμφανίζει ένα επίσημο εικονίδιο της Samsung.

Για την προστασία των χρηστών της, η Google έχει εφαρμόσει αλλαγές στο Google Play Protect και έχει απενεργοποιήσει τα έργα Firebase που χρησιμοποιούνται ως C2—τις τεχνικές εντολών και ελέγχου που χρησιμοποιούνται για επικοινωνίες με επηρεαζόμενες συσκευές. Επιπλέον, η Google έχει συγκεντρώσει μερικούς δείκτες συμβιβασμού (IOC) στην ανάρτηση για να προειδοποιήσει τα θύματα του Android.