Itālijas spiegprogrammatūras uzņēmums uzlauž iOS un Android ierīces, norāda Google

Google draudu analīzes grupa (TAG) ir identificējusi Itālijas pārdevēju RCS Lab kā a spyware likumpārkāpējs, izstrādājot rīkus, kas tiek izmantoti izmantošanai nulle dienas ievainojamības, lai veiktu uzbrukumus iOS un Android mobilo ierīču lietotājiem Itālijā un Kazahstānā.

Saskaņā ar Google blog post ceturtdien RCS Lab izmanto dažādu taktiku kombināciju, tostarp netipiskas lejupielādes kā sākotnējos infekcijas pārnēsātājus. Uzņēmums ir izstrādājis rīkus, lai izspiegotu mērķa ierīču privātos datus, teikts ziņojumā.

Milānā bāzētā RCS Lab apgalvo, ka tai ir filiāles Francijā un Spānijā, un tā savā tīmekļa vietnē ir norādījusi Eiropas valdības aģentūras kā savus klientus. Tas apgalvo, ka piedāvā "modernākos tehniskos risinājumus" likumīgas pārtveršanas jomā.

Uzņēmums nebija pieejams komentēšanai un neatbildēja uz e-pasta vaicājumiem. Paziņojumā, lai Reuters, RCS Lab teica: "RCS Lab darbinieki nav pakļauti iedarbībai un nepiedalās nekādās attiecīgo klientu veiktās darbībās."

Savā tīmekļa vietnē uzņēmums reklamē, ka piedāvā "pilnīgus likumīgus pārtveršanas pakalpojumus ar vairāk nekā 10,000 XNUMX pārtvertu mērķu katru dienu Eiropā vien".

Google TAG savukārt paziņoja, ka ir novērojis spiegprogrammatūras kampaņas, izmantojot iespējas, ko tā piedēvē RCS Lab. Kampaņu izcelsme ir unikāla saite, kas nosūtīta uz mērķi, uz kuras noklikšķinot, lietotājs mēģina lejupielādēt un instalēt ļaunprātīgu lietojumprogrammu Android vai iOS ierīcēs.

Šķiet, ka dažos gadījumos tas tiek darīts, sadarbojoties ar mērķa ierīces ISP, lai atspējotu mobilo datu savienojumu, sacīja Google. Pēc tam lietotājs īsziņā saņem lietojumprogrammas lejupielādes saiti, šķietami datu savienojuma atjaunošanai.

Šī iemesla dēļ lielākā daļa lietojumprogrammu tiek maskētas kā mobilo sakaru operatoru lietojumprogrammas. Ja ISP iesaistīšanās nav iespējama, lietojumprogrammas tiek maskētas kā ziņojumapmaiņa apps.

Autorizētas lejupielādes

Google norādīja, ka, definējot kā lejupielādes, kuras lietotāji atļauj, neizprotot sekas, “autorizētā braukšanas” metode ir bijusi atkārtota metode, ko izmanto gan iOS, gan Android ierīču inficēšanai.

RCS iOS pievadītajā režīmā tiek ievēroti Apple norādījumi par patentētu izplatīšanu uzņēmumā apps Apple ierīcēm, sacīja Google. Tas izmanto ITMS (IT pārvaldības komplekta) protokolus un paraksta nesošās lietojumprogrammas ar sertifikātu no 3-1 Mobile, Itālijas uzņēmuma, kas reģistrēts Apple Developer Enterprise programmā.

IOS lietderīgā slodze ir sadalīta vairākās daļās, izmantojot četras publiski zināmas darbības — LightSpeed, SockPuppet, TimeWaste, Avecesare un divus nesen identificētus ekspluatācijas veidus, kas iekšēji pazīstami kā Clicked2 un Clicked 3.

Android piedziņas funkcija ir atkarīga no tā, vai lietotāji ļauj instalēt lietojumprogrammu, kas maskējas kā likumīga lietotne, kas parāda oficiālu Samsung ikonu.

Lai aizsargātu savus lietotājus, Google ir ieviesis izmaiņas pakalpojumā Google Play Protect un atspējojis Firebase projektus, kas tiek izmantoti kā C2 — komandu un kontroles metodes, ko izmanto saziņai ar ietekmētajām ierīcēm. Turklāt Google ir iekļāvusi dažus kompromisa rādītājus (IOC), lai brīdinātu Android upurus.