Threat Analysis Group (TAG) ของ Google ระบุว่า RCS Lab ของผู้ขายในอิตาลีเป็น สปายแวร์ ผู้กระทำความผิด การพัฒนาเครื่องมือที่ใช้ในการแสวงประโยชน์ ศูนย์วัน ช่องโหว่ที่ส่งผลต่อการโจมตีผู้ใช้มือถือ iOS และ Android ในอิตาลีและคาซัคสถาน
ตาม Google โพสต์บล็อก ในวันพฤหัสบดี RCS Lab ใช้กลวิธีร่วมกัน ซึ่งรวมถึงการดาวน์โหลดจากไดรฟ์โดยผิดปกติเป็นพาหะของการติดไวรัสเบื้องต้น บริษัทได้พัฒนาเครื่องมือเพื่อสอดแนมข้อมูลส่วนตัวของอุปกรณ์เป้าหมาย โพสต์ระบุ
RCS Lab ซึ่งตั้งอยู่ในมิลานอ้างว่ามีบริษัทในเครือในฝรั่งเศสและสเปน และได้ระบุหน่วยงานรัฐบาลของยุโรปเป็นลูกค้าบนเว็บไซต์ มันอ้างว่าส่งมอบ "การแก้ปัญหาทางเทคนิคที่ล้ำสมัย" ในด้านของการสกัดกั้นอย่างถูกกฎหมาย
บริษัทไม่สามารถแสดงความคิดเห็นและไม่ตอบคำถามทางอีเมล ในแถลงการณ์ถึง รอยเตอร์สRCS Lab กล่าวว่า "บุคลากร RCS Lab ไม่ได้รับการเปิดเผยหรือมีส่วนร่วมในกิจกรรมใด ๆ ที่ดำเนินการโดยลูกค้าที่เกี่ยวข้อง"
บนเว็บไซต์ของ บริษัท โฆษณาว่าให้บริการ "บริการสกัดกั้นที่ถูกต้องตามกฎหมายโดยมีเป้าหมายที่สกัดกั้นมากกว่า 10,000 เป้าหมายทุกวันในยุโรปเพียงอย่างเดียว"
TAG ของ Google กล่าวว่าได้สังเกตเห็นแคมเปญสปายแวร์โดยใช้ความสามารถที่มาจาก RCS Lab แคมเปญเริ่มต้นด้วยลิงก์เฉพาะที่ส่งไปยังเป้าหมาย ซึ่งเมื่อคลิกแล้ว จะพยายามให้ผู้ใช้ดาวน์โหลดและติดตั้งแอปพลิเคชันที่เป็นอันตรายบนอุปกรณ์ Android หรือ iOS
ดูเหมือนว่าจะเสร็จสิ้นในบางกรณีด้วยการทำงานร่วมกับ ISP ของอุปกรณ์เป้าหมายเพื่อปิดการเชื่อมต่อข้อมูลมือถือ Google กล่าว ต่อจากนั้น ผู้ใช้จะได้รับลิงค์ดาวน์โหลดแอปพลิเคชันทาง SMS ซึ่งแสดงว่าสามารถกู้คืนการเชื่อมต่อข้อมูลได้
ด้วยเหตุนี้ แอปพลิเคชันส่วนใหญ่จึงปลอมตัวเป็นแอปพลิเคชันของผู้ให้บริการมือถือ เมื่อไม่สามารถมีส่วนร่วมกับ ISP แอปพลิเคชันจะปลอมแปลงเป็นข้อความ apps.
ไดรฟ์โดยการดาวน์โหลดที่ได้รับอนุญาต
กำหนดเป็นการดาวน์โหลดที่ผู้ใช้อนุญาตโดยไม่เข้าใจผลที่ตามมา เทคนิค "ไดรฟ์ที่ได้รับอนุญาตโดย" เป็นวิธีการซ้ำ ๆ ที่ใช้ในการแพร่ระบาดทั้งอุปกรณ์ iOS และ Android Google กล่าว
ไดรฟ์ RCS iOS ปฏิบัติตามคำแนะนำของ Apple สำหรับการแจกจ่ายกรรมสิทธิ์ภายในบริษัท apps สำหรับอุปกรณ์ Apple Google กล่าว ใช้โปรโตคอล ITMS (ชุดการจัดการไอที) และลงนามในแอปพลิเคชันที่รองรับน้ำหนักบรรทุกด้วยใบรับรองจาก 3-1 Mobile ซึ่งเป็นบริษัทในอิตาลีที่ลงทะเบียนในโปรแกรม Apple Developer Enterprise
เพย์โหลดของ iOS แบ่งออกเป็นหลายส่วน โดยใช้ประโยชน์จากช่องโหว่ที่เปิดเผยต่อสาธารณะสี่รายการ ได้แก่ LightSpeed, SockPuppet, TimeWaste, Avecesare— และช่องโหว่ 2 รายการที่เพิ่งระบุเมื่อเร็วๆ นี้ ซึ่งรู้จักกันในชื่อ Clicked3 และ Clicked XNUMX
ไดรฟ์โดย Android อาศัยผู้ใช้ที่เปิดใช้งานการติดตั้งแอปพลิเคชันที่ปลอมตัวเป็นแอปที่ถูกต้องตามกฎหมายซึ่งแสดงไอคอน Samsung อย่างเป็นทางการ
เพื่อปกป้องผู้ใช้ Google ได้ใช้การเปลี่ยนแปลงใน Google Play Protect และปิดใช้งานโปรเจ็กต์ Firebase ที่ใช้เป็น C2 ซึ่งเป็นเทคนิคคำสั่งและการควบคุมที่ใช้สำหรับการสื่อสารกับอุปกรณ์ที่ได้รับผลกระทบ นอกจากนี้ Google ยังได้เกณฑ์ตัวบ่งชี้การประนีประนอม (IOC) สองสามตัวในโพสต์เพื่อเตือนผู้ที่ตกเป็นเหยื่อ Android