Italialainen vakoiluohjelmayritys hakkeroi iOS- ja Android-laitteisiin, Google kertoo

Googlen Threat Analysis Group (TAG) on tunnistanut italialaisen toimittajan RCS Labin a spyware rikoksentekijä, kehittämällä työkaluja, joita käytetään hyväksikäyttöön nollapäivän haavoittuvuuksia hyökkäyksiä iOS- ja Android-mobiilikäyttäjiin Italiassa ja Kazakstanissa.

Googlen mukaan blogi torstaina RCS Lab käyttää yhdistelmää taktiikoita, mukaan lukien epätyypilliset lataukset alkuperäisinä tartuntavektoreina. Yritys on kehittänyt työkaluja kohteena olevien laitteiden yksityisten tietojen vakoilemiseen, viesti kertoi.

Milanossa toimiva RCS Lab väittää, että sillä on tytäryhtiöitä Ranskassa ja Espanjassa, ja se on listannut eurooppalaiset valtion virastot asiakkaikseensa verkkosivuillaan. Se väittää tarjoavansa "huippuluokan teknisiä ratkaisuja" laillisen sieppauksen alalla.

Yritys ei ollut käytettävissä kommentoitavaksi eikä vastannut sähköpostikyselyihin. Lausunnossaan Reuters, RCS Lab sanoi: "RCS Labin henkilökunta ei altistu eivätkä osallistu asiaankuuluvien asiakkaiden suorittamiin toimiin."

Verkkosivustollaan yritys mainostaa tarjoavansa "täydellisiä laillisia kuuntelupalveluita, joissa yli 10,000 XNUMX siepattua kohdetta käsitellään päivittäin pelkästään Euroopassa".

Googlen TAG puolestaan ​​sanoi, että se on havainnut vakoiluohjelmakampanjoita käyttämällä ominaisuuksia, jotka se antaa RCS Labille. Kampanjat saavat alkunsa kohteeseen lähetetystä ainutlaatuisesta linkistä, jota napsautettuna yrittää saada käyttäjä lataamaan ja asentamaan haitallisen sovelluksen joko Android- tai iOS-laitteisiin.

Tämä näyttää tapahtuvan joissakin tapauksissa tekemällä yhteistyötä kohdelaitteen Internet-palveluntarjoajan kanssa mobiilidatayhteyden poistamiseksi käytöstä, Google sanoi. Myöhemmin käyttäjä saa sovelluksen latauslinkin tekstiviestinä, näennäisesti datayhteyden palauttamiseksi.

Tästä syystä suurin osa sovelluksista naamioituu matkapuhelinoperaattorisovelluksiksi. Kun Internet-palveluntarjoajan osallistuminen ei ole mahdollista, sovellukset naamioituvat viesteiksi apps.

Valtuutetut drive-by-lataukset

"Authorized drive by" -tekniikka, joka määritellään latauksiksi, jotka käyttäjät hyväksyvät ymmärtämättä seurauksia, on ollut toistuva menetelmä sekä iOS- että Android-laitteiden tartuttamiseen, Google sanoi.

RCS iOS:n drive-by noudattaa Applen ohjeita oman yrityksen sisäiseen jakeluun apps Apple-laitteille, Google sanoi. Se käyttää ITMS (IT Management Suite) -protokollia ja allekirjoittaa hyötykuormaa kantavat sovellukset sertifikaatilla 3-1 Mobilelta, italialaiselta Apple Developer Enterprise -ohjelmaan ilmoittautuneelta yritykseltä.

iOS-hyötykuorma on jaettu useisiin osiin, joissa hyödynnetään neljää julkisesti tunnettua hyväksikäyttöä – LightSpeed, SockPuppet, TimeWaste, Avecesare – ja kaksi äskettäin tunnistettua hyväksikäyttöä, jotka tunnetaan sisäisesti nimellä Clicked2 ja Clicked 3.

Android-ajo edellyttää, että käyttäjät voivat asentaa sovelluksen, joka naamioituu lailliseksi sovellukseksi, joka näyttää virallisen Samsung-kuvakkeen.

Suojellakseen käyttäjiään Google on ottanut käyttöön muutoksia Google Play Protectiin ja poistanut käytöstä Firebase-projekteja, joita käytetään C2:na – komento- ja ohjaustekniikoina, joita käytetään viestimiseen kyseisten laitteiden kanssa. Lisäksi Google on lisännyt viestiin muutamia kompromissiindikaattoreita (IOC) varoittaakseen Androidin uhreja.