บริษัทสปายแวร์อิตาลีแฮ็คอุปกรณ์ iOS และ Android Google กล่าว

Threat Analysis Group (TAG) ของ Google ระบุว่า RCS Lab ของผู้ขายในอิตาลีเป็น สปายแวร์ ผู้กระทำความผิด การพัฒนาเครื่องมือที่ใช้ในการแสวงประโยชน์ ศูนย์วัน ช่องโหว่ที่ส่งผลต่อการโจมตีผู้ใช้มือถือ iOS และ Android ในอิตาลีและคาซัคสถาน

ตาม Google โพสต์บล็อก ในวันพฤหัสบดี RCS Lab ใช้กลวิธีร่วมกัน ซึ่งรวมถึงการดาวน์โหลดจากไดรฟ์โดยผิดปกติเป็นพาหะของการติดไวรัสเบื้องต้น บริษัทได้พัฒนาเครื่องมือเพื่อสอดแนมข้อมูลส่วนตัวของอุปกรณ์เป้าหมาย โพสต์ระบุ

RCS Lab ซึ่งตั้งอยู่ในมิลานอ้างว่ามีบริษัทในเครือในฝรั่งเศสและสเปน และได้ระบุหน่วยงานรัฐบาลของยุโรปเป็นลูกค้าบนเว็บไซต์ มันอ้างว่าส่งมอบ "การแก้ปัญหาทางเทคนิคที่ล้ำสมัย" ในด้านของการสกัดกั้นอย่างถูกกฎหมาย

บริษัทไม่สามารถแสดงความคิดเห็นและไม่ตอบคำถามทางอีเมล ในแถลงการณ์ถึง รอยเตอร์สRCS Lab กล่าวว่า "บุคลากร RCS Lab ไม่ได้รับการเปิดเผยหรือมีส่วนร่วมในกิจกรรมใด ๆ ที่ดำเนินการโดยลูกค้าที่เกี่ยวข้อง"

บนเว็บไซต์ของ บริษัท โฆษณาว่าให้บริการ "บริการสกัดกั้นที่ถูกต้องตามกฎหมายโดยมีเป้าหมายที่สกัดกั้นมากกว่า 10,000 เป้าหมายทุกวันในยุโรปเพียงอย่างเดียว"

TAG ของ Google กล่าวว่าได้สังเกตเห็นแคมเปญสปายแวร์โดยใช้ความสามารถที่มาจาก RCS Lab แคมเปญเริ่มต้นด้วยลิงก์เฉพาะที่ส่งไปยังเป้าหมาย ซึ่งเมื่อคลิกแล้ว จะพยายามให้ผู้ใช้ดาวน์โหลดและติดตั้งแอปพลิเคชันที่เป็นอันตรายบนอุปกรณ์ Android หรือ iOS

ดูเหมือนว่าจะเสร็จสิ้นในบางกรณีด้วยการทำงานร่วมกับ ISP ของอุปกรณ์เป้าหมายเพื่อปิดการเชื่อมต่อข้อมูลมือถือ Google กล่าว ต่อจากนั้น ผู้ใช้จะได้รับลิงค์ดาวน์โหลดแอปพลิเคชันทาง SMS ซึ่งแสดงว่าสามารถกู้คืนการเชื่อมต่อข้อมูลได้

ด้วยเหตุนี้ แอปพลิเคชันส่วนใหญ่จึงปลอมตัวเป็นแอปพลิเคชันของผู้ให้บริการมือถือ เมื่อไม่สามารถมีส่วนร่วมกับ ISP แอปพลิเคชันจะปลอมแปลงเป็นข้อความ apps.

ไดรฟ์โดยการดาวน์โหลดที่ได้รับอนุญาต

กำหนดเป็นการดาวน์โหลดที่ผู้ใช้อนุญาตโดยไม่เข้าใจผลที่ตามมา เทคนิค "ไดรฟ์ที่ได้รับอนุญาตโดย" เป็นวิธีการซ้ำ ๆ ที่ใช้ในการแพร่ระบาดทั้งอุปกรณ์ iOS และ Android Google กล่าว

ไดรฟ์ RCS iOS ปฏิบัติตามคำแนะนำของ Apple สำหรับการแจกจ่ายกรรมสิทธิ์ภายในบริษัท apps สำหรับอุปกรณ์ Apple Google กล่าว ใช้โปรโตคอล ITMS (ชุดการจัดการไอที) และลงนามในแอปพลิเคชันที่รองรับน้ำหนักบรรทุกด้วยใบรับรองจาก 3-1 Mobile ซึ่งเป็นบริษัทในอิตาลีที่ลงทะเบียนในโปรแกรม Apple Developer Enterprise

เพย์โหลดของ iOS แบ่งออกเป็นหลายส่วน โดยใช้ประโยชน์จากช่องโหว่ที่เปิดเผยต่อสาธารณะสี่รายการ ได้แก่ LightSpeed, SockPuppet, TimeWaste, Avecesare— และช่องโหว่ 2 รายการที่เพิ่งระบุเมื่อเร็วๆ นี้ ซึ่งรู้จักกันในชื่อ Clicked3 และ Clicked XNUMX

ไดรฟ์โดย Android อาศัยผู้ใช้ที่เปิดใช้งานการติดตั้งแอปพลิเคชันที่ปลอมตัวเป็นแอปที่ถูกต้องตามกฎหมายซึ่งแสดงไอคอน Samsung อย่างเป็นทางการ

เพื่อปกป้องผู้ใช้ Google ได้ใช้การเปลี่ยนแปลงใน Google Play Protect และปิดใช้งานโปรเจ็กต์ Firebase ที่ใช้เป็น C2 ซึ่งเป็นเทคนิคคำสั่งและการควบคุมที่ใช้สำหรับการสื่อสารกับอุปกรณ์ที่ได้รับผลกระทบ นอกจากนี้ Google ยังได้เกณฑ์ตัวบ่งชี้การประนีประนอม (IOC) สองสามตัวในโพสต์เพื่อเตือนผู้ที่ตกเป็นเหยื่อ Android