Googles Threat Analysis Group (TAG) har identifisert den italienske leverandøren RCS Lab som en spyware lovbryter, utvikle verktøy som brukes til å utnytte zero-day sårbarheter for å utføre angrep på iOS- og Android-mobilbrukere i Italia og Kasakhstan.
Ifølge en Google blogginnlegg på torsdag bruker RCS Lab en kombinasjon av taktikker, inkludert atypiske drive-by-nedlastinger som initiale infeksjonsvektorer. Selskapet har utviklet verktøy for å spionere på de private dataene til de målrettede enhetene, heter det i innlegget.
Milano-baserte RCS Lab hevder å ha tilknyttede selskaper i Frankrike og Spania, og har oppført europeiske offentlige etater som sine kunder på sin nettside. Den hevder å levere "banebrytende tekniske løsninger" innen lovlig avlytting.
Selskapet var utilgjengelig for kommentarer og svarte ikke på e-postforespørsler. I en uttalelse til ReutersRCS Lab sa, "RCS Lab-personell blir ikke eksponert, og deltar ikke i noen aktiviteter utført av de relevante kundene."
På sin nettside annonserer firmaet at det tilbyr "fullstendige lovlige avlyttingstjenester, med mer enn 10,000 XNUMX avlyttede mål som håndteres daglig i Europa alene."
Googles TAG sa på sin side at de har observert spionvarekampanjer ved å bruke funksjoner den tilskriver RCS Lab. Kampanjene stammer fra en unik lenke sendt til målet, som, når den klikkes, forsøker å få brukeren til å laste ned og installere en ondsinnet applikasjon på enten Android- eller iOS-enheter.
Dette ser ut til å bli gjort, i noen tilfeller, ved å samarbeide med målenhetens ISP for å deaktivere mobildatatilkobling, sa Google. Deretter mottar brukeren en applikasjonsnedlastingslenke via SMS, tilsynelatende for å gjenopprette datatilkobling.
Av denne grunn maskerer de fleste applikasjonene seg som mobiloperatørapplikasjoner. Når ISP-involvering ikke er mulig, maskerer applikasjoner seg som meldinger apps.
Autoriserte drive-by-nedlastinger
Definert som nedlastinger som brukere autoriserer uten å forstå konsekvensene, har "autorisert kjøring av"-teknikken vært en tilbakevendende metode som brukes til å infisere både iOS- og Android-enheter, sa Google.
RCS iOS drive-by følger Apple instruksjoner for distribusjon av proprietær internt apps til Apple-enheter, sa Google. Den bruker ITMS (IT Management Suite)-protokoller og signerer nyttelastbærende applikasjoner med et sertifikat fra 3-1 Mobile, et Italia-basert selskap som er registrert i Apple Developer Enterprise-programmet.
iOS-nyttelasten er delt inn i flere deler, og utnytter fire offentlig kjente utnyttelser – LightSpeed, SockPuppet, TimeWaste, Avecesare – og to nylig identifiserte utnyttelser, internt kjent som Clicked2 og Clicked 3.
Android drive-by er avhengig av at brukere aktiverer installasjon av en applikasjon som forkledd seg som en legitim app som viser et offisielt Samsung-ikon.
For å beskytte brukerne har Google implementert endringer i Google Play Protect og deaktivert Firebase-prosjekter brukt som C2 – kommando- og kontrollteknikkene som brukes for kommunikasjon med berørte enheter. I tillegg har Google vervet noen få indikatorer på kompromiss (IOC) i innlegget for å advare Android-ofre.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba