Perusahaan spyware Italia meretas perangkat iOS dan Android, kata Google

Grup Analisis Ancaman (TAG) Google telah mengidentifikasi vendor Italia RCS Lab sebagai spyware pelaku, mengembangkan alat yang digunakan untuk mengeksploitasi zero-day kerentanan untuk mempengaruhi serangan pada pengguna seluler iOS dan Android di Italia dan Kazakhstan.

Menurut Google posting blog pada hari Kamis, RCS Lab menggunakan kombinasi taktik, termasuk unduhan drive-by yang tidak biasa sebagai vektor infeksi awal. Perusahaan telah mengembangkan alat untuk memata-matai data pribadi dari perangkat yang ditargetkan, kata posting itu.

RCS Lab yang berbasis di Milan mengklaim memiliki afiliasi di Prancis dan Spanyol, dan telah mendaftarkan lembaga pemerintah Eropa sebagai kliennya di situs webnya. Ia mengklaim untuk memberikan "solusi teknis mutakhir" di bidang intersepsi yang sah.

Perusahaan tidak tersedia untuk komentar dan tidak menanggapi pertanyaan email. Dalam sebuah pernyataan kepada Reuters, RCS Lab mengatakan, “Personil RCS Lab tidak terpapar, atau berpartisipasi dalam aktivitas apa pun yang dilakukan oleh pelanggan terkait.”

Di situs webnya, perusahaan tersebut mengiklankan bahwa ia menawarkan "layanan penyadapan lengkap yang sah, dengan lebih dari 10,000 target yang dicegat ditangani setiap hari di Eropa saja."

TAG Google, pada bagiannya, mengatakan telah mengamati kampanye spyware menggunakan kemampuan yang dikaitkan dengan RCS Lab. Kampanye berasal dari tautan unik yang dikirim ke target, yang, ketika diklik, mencoba membuat pengguna mengunduh dan memasang aplikasi berbahaya di perangkat Android atau iOS.

Ini tampaknya dilakukan, dalam beberapa kasus, dengan bekerja sama dengan ISP perangkat target untuk menonaktifkan konektivitas data seluler, kata Google. Selanjutnya, pengguna menerima tautan unduhan aplikasi melalui SMS, seolah-olah untuk memulihkan konektivitas data.

Untuk alasan ini, sebagian besar aplikasi menyamar sebagai aplikasi operator seluler. Ketika keterlibatan ISP tidak memungkinkan, aplikasi menyamar sebagai pesan apps.

Unduhan drive-by resmi

Didefinisikan sebagai unduhan yang diotorisasi pengguna tanpa memahami konsekuensinya, teknik "drive yang diotorisasi oleh" telah menjadi metode berulang yang digunakan untuk menginfeksi perangkat iOS dan Android, kata Google.

Drive-by RCS iOS mengikuti instruksi Apple untuk mendistribusikan kepemilikan internal apps ke perangkat Apple, kata Google. Ia menggunakan protokol ITMS (IT management suite) dan menandatangani aplikasi pembawa muatan dengan sertifikat dari 3-1 Mobile, sebuah perusahaan yang berbasis di Italia yang terdaftar dalam program Apple Developer Enterprise.

Payload iOS dipecah menjadi beberapa bagian, memanfaatkan empat eksploit yang diketahui publik—LightSpeed, SockPuppet, TimeWaste, Avecesare—dan dua eksploit yang baru-baru ini diidentifikasi, yang secara internal dikenal sebagai Clicked2 dan Clicked 3.

Drive-by Android bergantung pada pengguna yang mengaktifkan pemasangan aplikasi yang menyamar sebagai aplikasi sah yang menampilkan ikon resmi Samsung.

Untuk melindungi penggunanya, Google telah menerapkan perubahan di Google Play Protect dan menonaktifkan proyek Firebase yang digunakan sebagai C2—teknik perintah dan kontrol yang digunakan untuk komunikasi dengan perangkat yang terpengaruh. Selain itu, Google telah mendaftarkan beberapa indikator kompromi (IOC) di pos untuk memperingatkan korban Android.