Googles Threat Analysis Group (TAG) har identifierat den italienska leverantören RCS Lab som en skapare av spionprogram, och utvecklar verktyg som används för att utnyttja nolldagssårbarheter för att utföra attacker mot användare av iOS- och Android-mobilenheter i Italien och Kazakstan.
Enligt ett Google-blogginlägg på torsdagen använder RCS Lab en kombination av taktik, inklusive atypiska automatiska nedladdningar som initiala infektionsvektorer. Företaget har utvecklat verktyg för att spionera på privata data från målenheter, enligt publikationen.
Milano-baserade RCS Lab säger sig ha dotterbolag i Frankrike och Spanien och har listat europeiska myndigheter som sina kunder på sin webbplats. Den påstår sig tillhandahålla "avancerade tekniska lösningar" inom området för juridisk avlyssning.
Företaget var inte tillgängligt för kommentarer och svarade inte på e-postfrågor. I ett uttalande till Reuters sa RCS Lab: "RCS Labs personal är inte exponerad för eller involverad i några aktiviteter som utförs av berörda kunder."
På sin webbplats annonserar företaget att det erbjuder "omfattande lagliga avlyssningstjänster, med över 10.000 XNUMX avlyssnade mål som behandlas dagligen bara i Europa."
Googles TAG sa å sin sida att de har observerat spionprogramkampanjer med funktioner som den tillskriver RCS Lab. Kampanjerna kommer från en unik länk som skickas till målet, som när den klickas försöker lura användaren att ladda ner och installera en skadlig app på Android- eller iOS-enheter.
Detta verkar göras, i vissa fall, genom att arbeta med målenhetens ISP för att inaktivera mobildataanslutning, sa Google. Användaren får sedan en nedladdningslänk för appen via SMS, förmodligen för att återfå dataanslutning.
Av denna anledning poserar de flesta applikationer som mobiloperatörsapplikationer. När ISP-medverkan inte är möjlig, utger sig applikationer som meddelandeapplikationer.
Nedladdning i bilen tillåten
Definierat som nedladdningar som användare tillåter utan att förstå konsekvenserna, har "drive by allow"-tekniken varit en återkommande metod som använts för att infektera iOS- och Android-enheter, sa Google.
iOS RCS Player följer Apples riktlinjer för distribution av proprietära interna appar på Apple-enheter, sa Google. Den använder ITMS-protokoll (IT Management Suite) och signerar nyttolastbärande applikationer med ett certifikat från 3-1 Mobile, ett Italienbaserat företag som är registrerat i Apple Developer Enterprise Program.
iOS-nyttolasten är uppdelad i flera delar. utnyttja fyra allmänt kända exploateringar: LightSpeed, SockPuppet, TimeWaste, Avecesare och två nyligen identifierade exploateringar, internt kända som Clicked2 och Clicked 3.
Android drive-by beror på att användare tillåter installationen av en app som klär ut sig som en legitim app som visar en officiell Samsung-ikon.
För att skydda sina användare implementerade Google ändringar i Google Play Protect och inaktiverade Firebase-projekt som används som C2, kommando- och kontrolltekniker som används för kommunikation med berörda enheter. Dessutom har Google inkluderat några Indicators of Compromise (IOC) i meddelandet för att varna Android-offer.
Copyright © 2022 IDG Communications, Inc.