Google заявляет, что итальянская компания-шпион взламывает устройства iOS и Android

Группа анализа угроз Google (TAG) определила итальянского поставщика RCS Lab в качестве шпионских программ правонарушитель, разрабатывая инструменты, которые используются для эксплуатации нулевого дня уязвимости для осуществления атак на мобильных пользователей iOS и Android в Италии и Казахстане.

По данным Google блоге В четверг RCS Lab использует комбинацию тактик, в том числе нетипичные загрузки в качестве начальных векторов заражения. В сообщении говорится, что компания разработала инструменты для слежки за личными данными целевых устройств.

Лаборатория RCS Lab из Милана утверждает, что у нее есть филиалы во Франции и Испании, и на своем веб-сайте перечислила европейские правительственные учреждения в качестве своих клиентов. Он утверждает, что предоставляет «передовые технические решения» в области законного прослушивания.

Компания была недоступна для комментариев и не ответила на запросы по электронной почте. В заявлении к Reuters, RCS Lab заявила: «Персонал RCS Lab не подвергается воздействию и не участвует в каких-либо мероприятиях, проводимых соответствующими клиентами».

На своем веб-сайте фирма рекламирует, что предлагает «полные услуги законного перехвата, причем только в Европе ежедневно обрабатывается более 10,000 XNUMX перехватываемых целей».

TAG Google, со своей стороны, заявила, что наблюдала за шпионскими кампаниями с использованием возможностей, которые она приписывает RCS Lab. Кампании начинаются с уникальной ссылки, отправляемой цели, которая при нажатии пытается заставить пользователя загрузить и установить вредоносное приложение на устройствах Android или iOS.

По словам Google, в некоторых случаях это делается путем работы с интернет-провайдером целевого устройства, чтобы отключить подключение к мобильным данным. Впоследствии пользователь получает ссылку для скачивания приложения через SMS, якобы для восстановления подключения к данным.

По этой причине большинство приложений маскируются под приложения оператора мобильной связи. Когда участие провайдера невозможно, приложения маскируются под обмен сообщениями. apps.

Авторизованные загрузки

По словам Google, метод «санкционированного проезда», определяемый как загрузки, которые пользователи разрешают, не понимая последствий, был повторяющимся методом, используемым для заражения устройств iOS и Android.

RCS iOS drive-by следует инструкциям Apple по распространению проприетарных продуктов внутри компании. apps для устройств Apple, сказал Google. Он использует протоколы ITMS (пакет управления ИТ) и подписывает приложения, несущие полезную нагрузку, сертификатом 3-1 Mobile, итальянской компании, зарегистрированной в программе Apple Developer Enterprise.

Полезная нагрузка iOS разбита на несколько частей, использующих четыре общеизвестных эксплойта — LightSpeed, SockPuppet, TimeWaste, Avecesare — и два недавно выявленных эксплойта, известных внутри как Clicked2 и Clicked 3.

Android drive-by полагается на то, что пользователи разрешают установку приложения, которое маскируется под законное приложение с официальным значком Samsung.

Чтобы защитить своих пользователей, Google внесла изменения в Google Play Protect и отключила проекты Firebase, используемые в качестве C2 — методы управления и контроля, используемые для связи с затронутыми устройствами. Кроме того, Google включил в пост несколько индикаторов компрометации (IOC), чтобы предупредить жертв Android.