Ang Italian spyware firm ay nagha-hack sa iOS at Android device, sabi ng Google

Tinukoy ng Google's Threat Analysis Group (TAG) ang Italian vendor na RCS Lab bilang isang spyware nagkasala, pagbuo ng mga tool na ginagamit upang pagsamantalahan Zero-Araw mga kahinaan sa epekto ng mga pag-atake sa mga user ng iOS at Android na mobile sa Italy at Kazakhstan.

Ayon sa isang Google blog post sa Huwebes, gumagamit ang RCS Lab ng kumbinasyon ng mga taktika, kabilang ang mga hindi tipikal na pag-download ng drive-by bilang mga unang vector ng impeksyon. Ang kumpanya ay nakabuo ng mga tool upang maniktik sa pribadong data ng mga naka-target na device, sinabi ng post.

Sinasabi ng RCS Lab na nakabase sa Milan na mayroong mga kaakibat sa France at Spain, at inilista ang mga ahensya ng gobyerno sa Europa bilang mga kliyente nito sa website nito. Sinasabi nito na naghahatid ng "mga makabagong teknikal na solusyon" sa larangan ng legal na pagharang.

Ang kumpanya ay hindi magagamit para sa komento at hindi tumugon sa mga query sa email. Sa isang pahayag kay Reuters, sinabi ng RCS Lab, "Ang mga tauhan ng RCS Lab ay hindi nakalantad, o nakikilahok sa anumang aktibidad na isinasagawa ng mga nauugnay na customer."

Sa website nito, nag-a-advertise ang firm na nag-aalok ito ng "kumpletong legal na mga serbisyo sa pagharang, na may higit sa 10,000 na-intercept na mga target na pinangangasiwaan araw-araw sa Europa lamang."

Ang TAG ng Google, sa bahagi nito, ay nagsabing naobserbahan nito ang mga kampanyang spyware gamit ang mga kakayahan na iniuugnay nito sa RCS Lab. Ang mga kampanya ay nagmula sa isang natatanging link na ipinadala sa target, na, kapag na-click, ay sumusubok na makuha ang user na mag-download at mag-install ng isang nakakahamak na application sa alinman sa mga Android o iOS device.

Mukhang ginagawa ito, sa ilang mga kaso, sa pamamagitan ng pakikipagtulungan sa ISP ng target na device upang huwag paganahin ang pagkakakonekta ng mobile data, sinabi ng Google. Kasunod nito, natatanggap ng user ang isang link sa pag-download ng application sa pamamagitan ng SMS, para daw sa pagbawi ng koneksyon ng data.

Para sa kadahilanang ito, karamihan sa mga application ay nagpapanggap bilang mga mobile carrier application. Kapag hindi posible ang paglahok sa ISP, ang mga application ay nagpapanggap bilang pagmemensahe apps.

Awtorisadong pag-download ng drive-by

Tinukoy bilang mga pag-download na pinahihintulutan ng mga user nang hindi nauunawaan ang mga kahihinatnan, ang "awtorisadong drive by" na pamamaraan ay isang paulit-ulit na paraan na ginamit upang mahawahan ang parehong mga iOS at Android device, sinabi ng Google.

Ang RCS iOS drive-by ay sumusunod sa mga tagubilin ng Apple para sa pamamahagi ng pagmamay-ari sa loob ng bahay apps sa mga Apple device, sinabi ng Google. Gumagamit ito ng mga protocol ng ITMS (IT management suite) at pinipirmahan ang mga payload-bearing application na may certificate mula sa 3-1 Mobile, isang kumpanyang nakabase sa Italy na naka-enroll sa Apple Developer Enterprise program.

Ang iOS payload ay nahahati sa maraming bahagi, na gumagamit ng apat na kilalang pagsasamantala—LightSpeed, SockPuppet, TimeWaste, Avecesare—at dalawang kamakailang natukoy na pagsasamantala, na panloob na kilala bilang Clicked2 at Clicked 3.

Ang Android drive-by ay umaasa sa mga user na nagpapagana ng pag-install ng isang application na nagpapakilala sa sarili bilang isang lehitimong app na nagpapakita ng isang opisyal na icon ng Samsung.

Para protektahan ang mga user nito, nagpatupad ang Google ng mga pagbabago sa Google Play Protect at na-disable ang mga proyekto sa Firebase na ginamit bilang C2—ang mga diskarte sa command at control na ginagamit para sa mga komunikasyon sa mga apektadong device. Bukod pa rito, nag-enlist ang Google ng ilang indicators of compromise (IOC) sa post upang bigyan ng babala ang mga biktima ng Android.