Grupa analizy zagrożeń Google (TAG) zidentyfikowała włoskiego dostawcę RCS Lab jako twórcę oprogramowania szpiegującego, opracowującego narzędzia wykorzystywane do wykorzystywania luk zero-day do atakowania użytkowników urządzeń mobilnych iOS i Android we Włoszech i Kazachstanie.

Zgodnie z czwartkowym wpisem na blogu Google, RCS Lab stosuje kombinację taktyk, w tym nietypowe pobrania typu drive-by download jako początkowe wektory infekcji. Zgodnie z postem firma opracowała narzędzia do szpiegowania prywatnych danych urządzeń docelowych.

RCS Lab z siedzibą w Mediolanie twierdzi, że ma filie we Francji i Hiszpanii, a na swojej stronie internetowej wymienił europejskie agencje rządowe jako swoich klientów. Twierdzi, że zapewnia „zaawansowane rozwiązania techniczne” w zakresie zgodnego z prawem przechwytywania.

Firma nie była dostępna do komentowania i nie odpowiadała na zapytania e-mailowe. W oświadczeniu dla agencji Reuters, RCS Lab powiedział: „Pracownicy RCS Lab nie są narażeni na żadne działania prowadzone przez dotkniętych nimi klientów ani nie są w nie zaangażowani”.

Na swojej stronie internetowej firma reklamuje, że oferuje „kompleksowe, zgodne z prawem usługi przechwytywania, przy czym w samej Europie codziennie przetwarzanych jest ponad 10.000 XNUMX przechwyconych celów”.

Ze swojej strony firma TAG Google stwierdziła, że ​​zaobserwowała kampanie szpiegowskie wykorzystujące funkcje, które przypisuje RCS Lab.Kampanie pochodzą z unikalnego linku wysłanego do celu, który po kliknięciu próbuje nakłonić użytkownika do pobrania i zainstalowania złośliwej aplikacji na urządzeniach z systemem Android lub iOS.

Wydaje się, że w niektórych przypadkach odbywa się to poprzez współpracę z dostawcą usług internetowych urządzenia docelowego w celu wyłączenia mobilnej łączności danych, powiedział Google. Następnie użytkownik otrzymuje SMS-em z linkiem do pobrania aplikacji, rzekomo w celu odzyskania łączności danych.

Z tego powodu większość aplikacji podszywa się pod aplikacje operatorów komórkowych. Gdy zaangażowanie usługodawcy internetowego nie jest możliwe, aplikacje podszywają się pod aplikacje do obsługi wiadomości.

Pobieranie w samochodzie dozwolone

Zdefiniowana jako pobieranie, na które użytkownicy zezwalają bez zrozumienia konsekwencji, technika „jazdy za zezwoleniem” jest powtarzającą się metodą stosowaną do infekowania urządzeń z systemem iOS i Android, powiedział Google.

iOS RCS Player jest zgodny z wytycznymi Apple dotyczącymi dystrybucji zastrzeżonych aplikacji wewnętrznych na urządzeniach Apple, powiedział Google. Wykorzystuje protokoły ITMS (IT Management Suite) i podpisuje aplikacje obsługujące ładunek za pomocą certyfikatu 3-1 Mobile, włoskiej firmy zarejestrowanej w programie Apple Developer Enterprise Program.

Ładunek iOS jest podzielony na kilka części. wykorzystanie czterech publicznie znanych exploitów: LightSpeed, SockPuppet, TimeWaste, Avecesare oraz dwóch niedawno zidentyfikowanych exploitów znanych wewnętrznie jako Clicked2 i Clicked 3.

Android drive-by polega na umożliwieniu przez użytkowników instalacji aplikacji, która podszywa się pod legalną aplikację wyświetlającą oficjalną ikonę Samsunga.

Aby chronić swoich użytkowników, Google wdrożyło zmiany w Google Play Protect i wyłączyło projekty Firebase używane jako C2, techniki dowodzenia i kontroli używane do komunikacji z dotkniętymi urządzeniami. Ponadto Google umieścił w wiadomości pewne wskaźniki narażenia (IOC), aby ostrzec ofiary Androida.

Prawa autorskie © 2022 IDG Communications, Inc.

Udostępnij to