Googles Threat Analysis Group (TAG) har identifierat den italienska leverantören RCS Lab som en spionprogram förövare, utveckla verktyg som används för att utnyttja Zero-Day sårbarheter för att utföra attacker på iOS- och Android-mobilanvändare i Italien och Kazakstan.
Enligt en Google blogginlägg på torsdag använder RCS Lab en kombination av taktik, inklusive atypiska drive-by-nedladdningar som initiala infektionsvektorer. Företaget har utvecklat verktyg för att spionera på privata data för de riktade enheterna, sa inlägget.
Milano-baserade RCS Lab hävdar att de har dotterbolag i Frankrike och Spanien, och har listat europeiska myndigheter som sina kunder på sin webbplats. Det hävdar att de levererar "spetsade tekniska lösningar" inom området laglig avlyssning.
Företaget var inte tillgängligt för kommentarer och svarade inte på e-postfrågor. I ett uttalande till ReutersRCS Lab sa, "RCS Labs personal exponeras inte och deltar inte i några aktiviteter som utförs av relevanta kunder."
På sin webbplats annonserar företaget att det erbjuder "fullständiga lagliga avlyssningstjänster, med mer än 10,000 XNUMX avlyssnade mål som hanteras dagligen bara i Europa."
Googles TAG, å sin sida, sa att de har observerat spionprogramkampanjer som använder funktioner som den tillskriver RCS Lab. Kampanjerna har sitt ursprung med en unik länk som skickas till målet, som, när den klickas, försöker få användaren att ladda ner och installera en skadlig applikation på antingen Android- eller iOS-enheter.
Detta verkar göras, i vissa fall, genom att arbeta med målenhetens ISP för att inaktivera mobildataanslutning, sa Google. Därefter får användaren en applikationsnedladdningslänk via SMS, till synes för att återställa dataanslutning.
Av denna anledning maskerar de flesta applikationerna sig som mobiloperatörsapplikationer. När ISP-inblandning inte är möjlig, maskerar applikationer sig som meddelanden apps.
Auktoriserade drive-by-nedladdningar
Definierat som nedladdningar som användare godkänner utan att förstå konsekvenserna, har tekniken "auktoriserad körning av" varit en återkommande metod som använts för att infektera både iOS- och Android-enheter, sa Google.
RCS iOS drive-by följer Apples instruktioner för att distribuera proprietärt internt apps till Apple-enheter, sa Google. Den använder ITMS-protokoll (IT Management Suite) och signerar nyttolastbärande applikationer med ett certifikat från 3-1 Mobile, ett Italienbaserat företag som är registrerat i Apple Developer Enterprise-programmet.
iOS-nyttolasten är uppdelad i flera delar och utnyttjar fyra allmänt kända exploateringar – LightSpeed, SockPuppet, TimeWaste, Avecesare – och två nyligen identifierade exploateringar, internt kända som Clicked2 och Clicked 3.
Android drive-by förlitar sig på att användare möjliggör installation av en applikation som klär ut sig som en legitim app som visar en officiell Samsung-ikon.
För att skydda sina användare har Google implementerat ändringar i Google Play Protect och inaktiverat Firebase-projekt som används som C2 – de kommando- och kontrolltekniker som används för kommunikation med berörda enheter. Dessutom har Google anlitat några indikatorer på kompromiss (IOC) i inlägget för att varna Android-offer.
English
Arabic
Belarusian
Bengali
Bosnian
Bulgarian
Chinese (Simplified)
Croatian
Czech
Danish
Dutch
English
Estonian
Filipino
Finnish
French
Georgian
German
Greek
Gujarati
Hausa
Hebrew
Hindi
Hmong
Hungarian
Igbo
Indonesian
Italian
Japanese
Javanese
Kazakh
Korean
Kurdish (Kurmanji)
Kyrgyz
Lao
Latvian
Lithuanian
Macedonian
Malagasy
Norwegian
Persian
Polish
Portuguese
Punjabi
Romanian
Russian
Serbian
Slovak
Slovenian
Spanish
Swedish
Thai
Turkish
Ukrainian
Vietnamese
Yoruba