이탈리아 스파이웨어 회사가 iOS 및 Android 기기를 해킹하고 있다고 Google이 밝혔습니다.

Google의 위협 분석 그룹(TAG)은 이탈리아 공급업체인 RCS Lab을 스파이웨어 범죄자, 악용하는 데 사용되는 도구 개발 제로 데이 이탈리아와 카자흐스탄의 iOS 및 Android 모바일 사용자에 대한 공격에 영향을 미치는 취약점.

구글에 따르면 블로그 게시물 목요일에 RCS Lab은 비정형 드라이브 바이 다운로드를 초기 감염 벡터로 포함하는 여러 전술을 사용합니다. 회사는 표적 장치의 개인 데이터를 감시하는 도구를 개발했다고 포스트가 전했다.

밀라노에 기반을 둔 RCS Lab은 프랑스와 스페인에 계열사가 있다고 주장하며 웹사이트에 유럽 정부 기관을 고객으로 나열했습니다. 합법적인 감청 분야에서 "첨단 기술 솔루션"을 제공한다고 주장합니다.

회사는 논평을 할 수 없었고 이메일 질문에 응답하지 않았습니다. 에 대한 성명서에서 로이터, RCS Lab 관계자는 "RCS Lab 직원은 노출되거나 관련 고객이 수행하는 활동에 참여하지 않는다"고 말했다.

웹사이트에서 이 회사는 "유럽에서만 매일 10,000개 이상의 도청 대상이 처리되는 완전한 합법적 도청 서비스"를 제공한다고 광고합니다.

Google의 TAG는 RCS Lab의 기능을 사용하여 스파이웨어 캠페인을 관찰했다고 밝혔습니다. 캠페인은 클릭 시 사용자가 Android 또는 iOS 기기에 악성 애플리케이션을 다운로드하여 설치하도록 시도하는 타겟으로 전송된 고유 링크에서 시작됩니다.

이것은 어떤 경우에는 대상 장치의 ISP와 협력하여 모바일 데이터 연결을 비활성화함으로써 수행되는 것으로 Google은 말했습니다. 그 후, 사용자는 표면상 데이터 연결을 복구하기 위해 SMS를 통해 애플리케이션 다운로드 링크를 받습니다.

이러한 이유로 대부분의 응용 프로그램은 이동 통신사 응용 프로그램으로 가장합니다. ISP 개입이 불가능한 경우 애플리케이션은 메시징으로 가장합니다. apps.

승인된 드라이브 바이 다운로드

사용자가 결과를 이해하지 못한 채 승인하는 다운로드로 정의되는 "승인된 드라이브 바이" 기술은 iOS 및 Android 기기를 모두 감염시키는 데 사용되는 반복적인 방법이라고 Google은 말했습니다.

RCS iOS 드라이브 바이는 자체 독점 배포에 대한 Apple 지침을 따릅니다. apps 애플 기기에, 구글은 말했다. ITMS(IT 관리 제품군) 프로토콜을 사용하고 Apple Developer Enterprise 프로그램에 등록된 이탈리아 기반 회사인 3-1 Mobile의 인증서로 페이로드 베어링 애플리케이션에 서명합니다.

iOS 페이로드는 공개적으로 알려진 네 가지 익스플로잇(LightSpeed, SockPuppet, TimeWaste, Avecesare)과 내부적으로 Clicked2 및 Clicked 3으로 알려진 최근에 확인된 두 가지 익스플로잇을 활용하여 여러 부분으로 나뉩니다.

Android 드라이브 바이는 공식 Samsung 아이콘을 표시하는 합법적인 앱으로 위장하는 애플리케이션의 설치를 가능하게 하는 사용자에 의존합니다.

사용자를 보호하기 위해 Google은 Google Play Protect의 변경 사항을 구현하고 영향을 받는 기기와의 통신에 사용되는 명령 및 제어 기술인 C2로 사용되는 Firebase 프로젝트를 비활성화했습니다. 또한 Google은 Android 피해자에게 경고하기 위해 게시물에 몇 가지 침해 지표(IOC)를 추가했습니다.