Googles Threat Analysis Group (TAG) har identifierat den italienska leverantören RCS Lab som skaparen av spionprogram, som utvecklar verktyg som används för att utnyttja nolldagssårbarheter för att attackera iOS- och Android-användare av mobila enheter i Italien och Kazakstan.

Enligt ett Google-blogginlägg på torsdagen använder RCS Lab en kombination av taktik, inklusive atypiska drive-by-nedladdningar som initiala infektionsvektorer. Företaget har utvecklat verktyg för att spionera på privata data från målenheter, enligt inlägget.

Milano-baserade RCS Lab säger sig ha dotterbolag i Frankrike och Spanien och har listat europeiska myndigheter som sina kunder på sin webbplats. Den påstår sig tillhandahålla "avancerade tekniska lösningar" inom området laglig avlyssning.

Företaget var inte tillgängligt för kommentarer och svarade inte på e-postförfrågningar. I ett uttalande till Reuters sa RCS Lab: "RCS Labs personal är inte exponerad för eller involverad i några aktiviteter som utförs av berörda kunder."

På sin webbplats annonserar företaget att det erbjuder "omfattande lagliga avlyssningstjänster, med över 10.000 XNUMX avlyssnade mål som behandlas dagligen bara i Europa."

Googles TAG sa å sin sida att de har observerat spionprogramkampanjer med funktioner som den tillskriver RCS Lab. Kampanjerna kommer från en unik länk som skickas till målet, som när den klickas försöker lura användaren att ladda ner och installera en skadlig app på Android- eller iOS-enheter.

Detta verkar göras, i vissa fall, genom att arbeta med målenhetens ISP för att inaktivera mobildataanslutning, sa Google. Efteråt får användaren en app-nedladdningslänk via SMS, förmodligen för att återfå dataanslutning.

Av denna anledning poserar de flesta appar som mobiloperatörsappar. När ISP-medverkan inte är möjlig, maskerar appar sig som meddelandeappar.

Nedladdning i bilen tillåten

Definierat som nedladdningar som användare tillåter utan att förstå konsekvenserna, har tekniken "körning med tillstånd" varit en återkommande metod som använts för att infektera iOS- och Android-enheter, sa Google.

iOS RCS Player följer Apples riktlinjer för distribution av proprietära interna appar på Apple-enheter, sa Google. Den använder ITMS-protokoll (IT Management Suite) och signerar nyttolastbärande applikationer med ett certifikat från 3-1 Mobile, ett Italienbaserat företag som är registrerat i Apple Developer Enterprise Program.

iOS-nyttolasten är uppdelad i flera delar. utnyttja fyra allmänt kända exploateringar: LightSpeed, SockPuppet, TimeWaste, Avecesare och två nyligen identifierade exploateringar internt kända som Clicked2 och Clicked 3.

Android drive-by förlitar sig på att användare tillåter installation av en app som utger sig som en legitim app som visar en officiell Samsung-ikon.

För att skydda sina användare implementerade Google ändringar i Google Play Protect och inaktiverade Firebase-projekt som används som C2, kommando- och kontrolltekniker som används för kommunikation med berörda enheter. Google har också inkluderat några kompromissindikatorer (IOC) i meddelandet för att varna Android-offer.

Copyright © 2022 IDG Communications, Inc.

Dela detta