Italijansko podjetje vohunske programske opreme vdre v naprave iOS in Android, pravi Google

Googlova skupina za analizo nevarnosti (TAG) je italijanskega prodajalca RCS Lab identificirala kot a Vohunska programska oprema storilca, ki razvija orodja, ki se uporabljajo za izkoriščanje Zero-Day ranljivosti za napade na uporabnike mobilnih telefonov iOS in Android v Italiji in Kazahstanu.

Po mnenju Googla blog post v četrtek RCS Lab uporablja kombinacijo taktik, vključno z netipičnimi prenosi med vožnjo kot začetnimi vektorji okužbe. Podjetje je razvilo orodja za vohunjenje za zasebnimi podatki ciljnih naprav, je zapisano v objavi.

RCS Lab s sedežem v Milanu trdi, da ima podružnice v Franciji in Španiji, na svoji spletni strani pa je kot svoje stranke navedel evropske vladne agencije. Trdi, da zagotavlja "najsodobnejše tehnične rešitve" na področju zakonitega prestrezanja.

Podjetje ni bilo na voljo za komentarje in ni odgovorilo na e-poštna vprašanja. V izjavi za Reuters, RCS Lab je dejal: "Osebje RCS Laba ni izpostavljeno in ne sodeluje v kakršnih koli dejavnostih, ki jih izvajajo ustrezne stranke."

Na svoji spletni strani podjetje oglašuje, da ponuja "popolne zakonite storitve prestrezanja z več kot 10,000 prestreženimi tarčami, ki se dnevno obravnavajo samo v Evropi."

Googlov TAG je na svoji strani dejal, da je opazoval kampanje vohunske programske opreme, ki uporabljajo zmogljivosti, ki jih pripisuje laboratoriju RCS. Kampanje izvirajo z edinstveno povezavo, poslano na cilj, ki ob kliku poskuša uporabnika prenesti in namestiti zlonamerno aplikacijo na naprave Android ali iOS.

Zdi se, da je to v nekaterih primerih storjeno s sodelovanjem s ponudnikom internetnih storitev ciljne naprave za onemogočanje mobilne podatkovne povezave, je dejal Google. Nato uporabnik prek SMS-a prejme povezavo za prenos aplikacije, domnevno za obnovitev podatkovne povezljivosti.

Zaradi tega se večina aplikacij maskira kot aplikacije mobilnega operaterja. Ko sodelovanje ponudnika internetnih storitev ni mogoče, se aplikacije zamaskirajo kot sporočila apps.

Pooblaščeni prenosi za vožnjo

Opredeljena kot prenosi, ki jih uporabniki odobrijo, ne da bi razumeli posledice, je bila tehnika "pooblaščene vožnje mimo" ponavljajoča se metoda, ki se uporablja za okužbo tako naprav iOS kot Android, je dejal Google.

RCS iOS drive-by sledi navodilom Apple za distribucijo lastniškega doma apps na naprave Apple, je dejal Google. Uporablja protokole ITMS (IT Management suite) in podpisuje nosilne aplikacije s certifikatom 3-1 Mobile, italijanskega podjetja, vpisanega v program Apple Developer Enterprise.

Tovor iOS je razdeljen na več delov, pri čemer se izkoriščajo štiri javno znana izkoriščanja – LightSpeed, SockPuppet, TimeWaste, Avecesare – in dva nedavno identificirana izkorišča, interno znana kot Clicked2 in Clicked 3.

Android drive-by se zanaša na to, da uporabniki omogočijo namestitev aplikacije, ki se prikrije kot zakonita aplikacija, ki prikazuje uradno Samsungovo ikono.

Da bi zaščitil svoje uporabnike, je Google uvedel spremembe v Google Play Protect in onemogočil projekte Firebase, ki se uporabljajo kot C2 – tehnike upravljanja in nadzora, ki se uporabljajo za komunikacijo s prizadetimi napravami. Poleg tega je Google v objavo vključil nekaj kazalnikov kompromisa (IOC), da bi opozoril žrtve Androida.