Группа анализа угроз Google (TAG) определила итальянского поставщика RCS Lab как создателя шпионского ПО, разрабатывающего инструменты, используемые для использования уязвимостей нулевого дня для атак на пользователей мобильных устройств iOS и Android в Италии и Казахстане.
Согласно сообщению в блоге Google, опубликованному в четверг, RCS Lab использует комбинацию тактик, в том числе нетипичные загрузки в качестве начальных векторов заражения. Согласно сообщению, компания разработала инструменты для слежки за личными данными целевых устройств.
Базирующаяся в Милане RCS Lab утверждает, что у нее есть дочерние компании во Франции и Испании, и на своем веб-сайте перечислила европейские правительственные учреждения в качестве своих клиентов. Он утверждает, что предоставляет «передовые технические решения» в области законного перехвата.
Компания не была доступна для комментариев и не ответила на запросы по электронной почте. В заявлении для Reuters RCS Lab заявила: «Персонал RCS Lab не подвергается воздействию и не участвует в каких-либо действиях, проводимых пострадавшими клиентами».
На своем веб-сайте фирма рекламирует, что предлагает «комплексные услуги законного перехвата, при этом только в Европе ежедневно обрабатывается более 10.000 XNUMX перехваченных целей».
TAG Google, со своей стороны, заявил, что наблюдал шпионские кампании с использованием функций, которые он приписывает RCS Lab.Кампании исходят из уникальной ссылки, отправляемой цели, которая при нажатии пытается заставить пользователя загрузить и установить вредоносное ПО. приложение на устройствах Android или iOS.
По словам Google, в некоторых случаях это делается путем работы с интернет-провайдером целевого устройства, чтобы отключить подключение к мобильным данным. После этого пользователь получает ссылку на скачивание приложения через SMS, якобы для восстановления подключения к данным.
По этой причине большинство приложений выдают себя за приложения мобильных операторов. Когда участие интернет-провайдера невозможно, приложения маскируются под приложения для обмена сообщениями.
Загрузки в машину разрешены
Согласно заявлению Google, метод «драйв по разрешению», определяемый как загрузка, которую пользователи разрешают, не понимая последствий, является повторяющимся методом, используемым для заражения устройств iOS и Android.
По словам Google, iOS RCS Player следует рекомендациям Apple по распространению собственных приложений на устройствах Apple. Он использует протоколы ITMS (IT Management Suite) и подписывает приложения, несущие полезную нагрузку, сертификатом 3-1 Mobile, итальянской компании, участвующей в программе Apple Developer Enterprise Program.
Полезная нагрузка iOS разделена на несколько частей. используя четыре общеизвестных эксплойта: LightSpeed, SockPuppet, TimeWaste, Avecesare и два недавно выявленных эксплойта, известных внутри компании как Clicked2 и Clicked 3.
Android drive-by полагается на то, что пользователи разрешают установку приложения, которое маскируется под законное приложение с официальным значком Samsung.
Чтобы защитить своих пользователей, Google внесла изменения в Google Play Protect и отключила проекты Firebase, используемые в качестве C2, методов управления и контроля, используемых для связи с затронутыми устройствами. Кроме того, Google включил в сообщение несколько индикаторов компрометации (IOC), чтобы предупредить жертв Android.
© 2022 IDG Communications, Inc.