El Grupo de Análisis de Amenazas (TAG) de Google ha identificado al proveedor italiano RCS Lab como un software espía delincuente, desarrollando herramientas que se utilizan para explotar día cero vulnerabilidades para efectuar ataques a usuarios de dispositivos móviles iOS y Android en Italia y Kazajstán.
Según un Google del blog el jueves, RCS Lab utiliza una combinación de tácticas, incluidas descargas no autorizadas atípicas como vectores iniciales de infección. La compañía ha desarrollado herramientas para espiar los datos privados de los dispositivos objetivo, según la publicación.
RCS Lab, con sede en Milán, afirma tener filiales en Francia y España, y ha enumerado agencias gubernamentales europeas como sus clientes en su sitio web. Afirma ofrecer "soluciones técnicas de vanguardia" en el campo de la interceptación legal.
La compañía no estuvo disponible para hacer comentarios y no respondió a las consultas por correo electrónico. En un comunicado a Reuters, RCS Lab dijo: "El personal de RCS Lab no está expuesto ni participa en ninguna actividad realizada por los clientes relevantes".
En su sitio web, la firma anuncia que ofrece "servicios completos de interceptación legal, con más de 10,000 objetivos interceptados manejados diariamente solo en Europa".
TAG de Google, por su parte, dijo que ha observado campañas de spyware que utilizan capacidades que atribuye a RCS Lab. Las campañas se originan con un enlace único enviado al objetivo que, cuando se hace clic, intenta que el usuario descargue e instale una aplicación maliciosa en dispositivos Android o iOS.
Esto parece hacerse, en algunos casos, trabajando con el ISP del dispositivo de destino para deshabilitar la conectividad de datos móviles, dijo Google. Posteriormente, el usuario recibe un enlace de descarga de la aplicación a través de SMS, aparentemente para recuperar la conectividad de datos.
Por esta razón, la mayoría de las aplicaciones se hacen pasar por aplicaciones de operadores móviles. Cuando la participación del ISP no es posible, las aplicaciones se hacen pasar por mensajería apps.
Descargas automáticas autorizadas
Definida como descargas que los usuarios autorizan sin comprender las consecuencias, la técnica de "conducción autorizada" ha sido un método recurrente utilizado para infectar dispositivos iOS y Android, dijo Google.
El drive-by de RCS iOS sigue las instrucciones de Apple para la distribución interna patentada apps a los dispositivos de Apple, dijo Google. Utiliza protocolos ITMS (paquete de administración de TI) y firma aplicaciones de carga útil con un certificado de 3-1 Mobile, una empresa con sede en Italia inscrita en el programa Apple Developer Enterprise.
La carga útil de iOS se divide en varias partes, aprovechando cuatro exploits conocidos públicamente: LightSpeed, SockPuppet, TimeWaste, Avecesare, y dos exploits identificados recientemente, conocidos internamente como Clicked2 y Clicked 3.
El drive-by de Android depende de que los usuarios permitan la instalación de una aplicación que se disfraza como una aplicación legítima que muestra un ícono oficial de Samsung.
Para proteger a sus usuarios, Google implementó cambios en Google Play Protect y deshabilitó los proyectos de Firebase utilizados como C2, las técnicas de comando y control utilizadas para las comunicaciones con los dispositivos afectados. Además, Google ha incluido algunos indicadores de compromiso (IOC) en la publicación para advertir a las víctimas de Android.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba