Włoska firma spyware włamuje się do urządzeń z systemem iOS i Android, mówi Google

Grupa analizy zagrożeń Google (TAG) zidentyfikowała włoskiego dostawcę RCS Lab jako spyware sprawca, opracowywanie narzędzi, które są wykorzystywane do wykorzystywania zero-dzień luki umożliwiające przeprowadzanie ataków na użytkowników mobilnych systemów iOS i Android we Włoszech i Kazachstanie.

Według Google blogu W czwartek RCS Lab stosuje kombinację taktyk, w tym nietypowe pobrania typu drive-by download jako początkowe wektory infekcji. Firma opracowała narzędzia do szpiegowania prywatnych danych docelowych urządzeń, napisano w poście.

RCS Lab z siedzibą w Mediolanie twierdzi, że ma filie we Francji i Hiszpanii, a na swojej stronie internetowej wymienił europejskie agencje rządowe jako swoich klientów. Twierdzi, że dostarcza „najnowocześniejsze rozwiązania techniczne” w dziedzinie zgodnego z prawem przechwytywania.

Firma była niedostępna do komentowania i nie odpowiadała na zapytania e-mailowe. W oświadczeniu do Reuters, RCS Lab powiedział: „Personel RCS Lab nie jest narażony ani nie uczestniczy w żadnych działaniach prowadzonych przez odpowiednich klientów”.

Na swojej stronie internetowej firma reklamuje, że oferuje „kompletne, zgodne z prawem usługi przechwytywania, z ponad 10,000 XNUMX przechwyconych celów codziennie obsługiwanych w samej Europie”.

TAG Google ze swojej strony powiedział, że zaobserwował kampanie szpiegowskie wykorzystujące możliwości, które przypisuje RCS Lab. Kampanie rozpoczynają się od unikalnego linku wysyłanego do celu, który po kliknięciu próbuje skłonić użytkownika do pobrania i zainstalowania złośliwej aplikacji na urządzeniach z systemem Android lub iOS.

Wydaje się, że w niektórych przypadkach odbywa się to poprzez współpracę z dostawcą usług internetowych urządzenia docelowego w celu wyłączenia mobilnej łączności danych, powiedział Google. Następnie użytkownik otrzymuje wiadomość SMS z łączem do pobrania aplikacji, rzekomo w celu odzyskania łączności danych.

Z tego powodu większość aplikacji podszywa się pod aplikacje operatorów komórkowych. Gdy zaangażowanie usługodawcy internetowego nie jest możliwe, aplikacje podszywają się pod komunikatory apps.

Autoryzowane pobieranie drive-by

Zdefiniowana jako pobieranie, które użytkownicy autoryzują bez zrozumienia konsekwencji, technika „autoryzowanego napędu” jest powtarzającą się metodą stosowaną do infekowania zarówno urządzeń z systemem iOS, jak i Android, powiedział Google.

RCS iOS drive-by postępuje zgodnie z instrukcjami Apple dotyczącymi dystrybucji zastrzeżonych produktów we własnym zakresie apps do urządzeń Apple, powiedział Google. Wykorzystuje protokoły ITMS (IT Management Suite) i podpisuje aplikacje nośne za pomocą certyfikatu włoskiej firmy 3-1 Mobile, która jest zarejestrowana w programie Apple Developer Enterprise.

Ładunek iOS jest podzielony na wiele części, wykorzystując cztery publicznie znane exploity — LightSpeed, SockPuppet, TimeWaste, Avecesare — oraz dwa niedawno zidentyfikowane exploity, wewnętrznie znane jako Clicked2 i Clicked 3.

Android drive-by polega na tym, że użytkownicy mogą zainstalować aplikację, która podszywa się pod legalną aplikację wyświetlającą oficjalną ikonę Samsunga.

Aby chronić swoich użytkowników, Google wdrożyło zmiany w Google Play Protect i wyłączyło projekty Firebase używane jako C2 — techniki dowodzenia i kontroli używane do komunikacji z dotkniętymi urządzeniami. Ponadto Google zamieścił w poście kilka wskaźników naruszenia bezpieczeństwa (IOC), aby ostrzec ofiary Androida.