Google twierdzi, że włoska firma zajmująca się oprogramowaniem szpiegującym włamuje się do urządzeń z systemem iOS i Android

Google twierdzi, że włoska firma zajmująca się oprogramowaniem szpiegującym włamuje się do urządzeń z systemem iOS i Android

Grupa analizy zagrożeń Google (TAG) zidentyfikowała włoskiego dostawcę RCS Lab jako twórcę oprogramowania szpiegującego, opracowującego narzędzia wykorzystywane do wykorzystywania luk dnia zerowego w celu przeprowadzania ataków na użytkowników urządzeń mobilnych z systemem iOS i Android we Włoszech i Kazachstanie.

Zgodnie z czwartkowym postem na blogu Google, RCS Lab stosuje kombinację taktyk, w tym nietypowe, automatyczne pobieranie jako początkowe wektory infekcji. Jak wynika z publikacji, firma opracowała narzędzia do szpiegowania prywatnych danych urządzeń docelowych.

RCS Lab z siedzibą w Mediolanie twierdzi, że ma spółki zależne we Francji i Hiszpanii, a na swojej stronie internetowej wymienia europejskie agencje rządowe jako swoich klientów. Twierdzi, że zapewnia „zaawansowane rozwiązania techniczne” w dziedzinie legalnego przechwytywania.

Firma nie była dostępna w celu uzyskania komentarza i nie odpowiedziała na zapytania e-mailowe. W oświadczeniu dla Reutersa RCS Lab stwierdziło: „Personel RCS Lab nie jest narażony na kontakt z klientami, których dotyczy problem, ani nie jest w nie zaangażowany”.

Na swojej stronie internetowej firma reklamuje, że oferuje „kompleksowe, zgodne z prawem usługi przechwytywania, obejmujące dziennie przetwarzanie ponad 10.000 XNUMX przechwytywanych celów w samej Europie”.

Ze swojej strony Google TAG stwierdził, że zaobserwował kampanie spyware wykorzystujące funkcje, które przypisuje laboratorium RCS. Kampanie pochodzą z unikalnego linku wysłanego do celu, który po kliknięciu próbuje nakłonić użytkownika do pobrania i zainstalowania złośliwej aplikacji na urządzeniach z Androidem lub iOS.

Wydaje się, że w niektórych przypadkach można to osiągnąć poprzez współpracę z dostawcą usług internetowych urządzenia docelowego w celu wyłączenia mobilnej transmisji danych, twierdzi Google. Następnie użytkownik otrzymuje łącze do pobrania aplikacji za pośrednictwem wiadomości SMS, rzekomo w celu odzyskania połączenia danych.

Z tego powodu większość aplikacji udaje aplikacje operatora komórkowego. Gdy zaangażowanie dostawcy usług internetowych nie jest możliwe, aplikacje udają aplikacje do przesyłania wiadomości.

Dozwolone pobieranie plików w samochodzie

Zdefiniowana jako pobieranie plików, na które użytkownicy zezwalają bez zrozumienia konsekwencji, technika „przejedź przez dozwolone” jest powtarzającą się metodą infekowania urządzeń z systemem iOS i Android – twierdzi Google.

Odtwarzacz iOS RCS Player jest zgodny z wytycznymi Apple dotyczącymi dystrybucji własnych aplikacji na urządzeniach Apple, twierdzi Google. Wykorzystuje protokoły ITMS (IT Management Suite) i podpisuje aplikacje nośne certyfikatem włoskiej firmy 3-1 Mobile, zarejestrowanej w programie Apple Developer Enterprise Program.

Ładunek iOS jest podzielony na kilka części. wykorzystując cztery publicznie znane exploity: LightSpeed, SockPuppet, TimeWaste, Avecesare oraz dwa niedawno zidentyfikowane exploity, znane wewnętrznie jako Clicked2 i Clicked 3.

Działanie systemu Android zależy od tego, czy użytkownicy zezwolą na instalację aplikacji udającej legalną aplikację, która wyświetla oficjalną ikonę Samsunga.

Aby chronić swoich użytkowników, Google wprowadziło zmiany w Google Play Protect i wyłączyło projekty Firebase używane jako techniki C2, dowodzenia i kontroli używane do komunikacji z urządzeniami, których dotyczy problem. Ponadto Google umieścił w wiadomości kilka wskaźników zagrożenia (IOC), aby ostrzec ofiary Androida.

Prawa autorskie © 2022 IDG Communications, Inc.