Potrivit unei postări pe blogul Google, RCS Lab folosește o combinație de tactici, inclusiv descărcări atipice, ca vectori inițiali de infecție. Compania a dezvoltat instrumente pentru a spiona datele private ale dispozitivelor vizate, menționează computerworld.com.
Citește și: Ce telefoane poți cumpăra de la Digi cu mai puțin de 1000 de lei
RCS Lab, o firmă de spyware
RCS Lab, cu sediul în Milano, susține că are filiale în Franța și Spania. Pe site-ul său, listează agenții guvernamentale europene drept clienți. Pretinde că oferă “soluții tehnice de ultimă oră” în domeniul interceptării legale.
Compania nu a răspuns la întrebările referitoare la apliațiile spyware. Într-o declarație pentru Reuters, RCS Lab a spus: “Personalul RCS Lab nu este expus și nici nu participă la nicio activitate desfășurată de clienții relevanți”.
Pe site-ul său, firma spune că oferă “servicii complete de interceptare legală, cu peste 10.000 de ținte interceptate zilnic numai în Europa”.
TAG de la Google, la rândul său, a declarat că a observat campanii de spyware care se folosesc de capabilitățile RCS Lab. Campaniile au la origine un link unic trimis către țintă, care, atunci când este accesat, încearcă să-l determine pe utilizator să descarce și să instaleze o aplicație spyware pe dispozitivele Android sau iOS.
Acest lucru pare să se realizeze, în unele cazuri, atacând ISP-ul dispozitivului țintă, pentru a dezactiva conectivitatea datelor mobile, a spus Google. Ulterior, utilizatorul primește un link de descărcare a aplicației prin SMS, aparent pentru recuperarea conectivității de date.
Din acest motiv, majoritatea aplicațiilor sunt mascate ca fiind aplicații de telefonie mobilă. Când implicarea ISP-ului nu este posibilă, aplicațiile apar drept aplicații de mesagerie.
Atenție la autorizarea descărcărilor
Definită ca o descărcare pe care utilizatorii o autorizează fără să înțeleagă consecințele, tehnica “autorizare drive-by” este o metodă folosită pentru a infecta atât dispozitivele iOS, cât și Android, a spus Google.
Drive-by-ul RCS iOS urmează instrucțiunile Apple pentru distribuirea aplicațiilor interne proprietare către dispozitivele Apple. Utilizează protocoale ITMS (suită de management IT) și semnează aplicații cu un certificat de la 3-1 Mobile, o companie din Italia, înscrisă în programul Apple Developer Enterprise.
Vulnerabilitatea iOS utilizează patru exploit-uri cunoscute public — LightSpeed, SockPuppet, TimeWaste, Avecesare — și două exploit-uri identificate recent, cunoscute ca Clicked2 și Clicked 3.
Drive-by-ul Android se bazează pe utilizatorii care permit instalarea unei aplicații care se deghizează ca fiind o aplicație legitimă, care afișează o pictogramă Samsung oficială.
Pentru a-și proteja utilizatorii, Google a implementat modificări în Google Play Protect și a dezactivat proiectele Firebase folosite ca C2 – tehnicile de comandă și control utilizate pentru comunicațiile cu dispozitivele afectate. În plus, Google a enumerat câțiva indicatori de compromis (IOC) în postarea sa, pentru a ajuta profesioniștii în securitate să detecteze intruziunile.
Citește cele mai bune știri de pe Informeria. Urmărește-ne pe Google News