Итальянская шпионская фирма взламывает устройства iOS и Android, сообщает Google.
Группа анализа угроз Google (TAG) определила итальянского поставщика RCS Lab как внедрителя шпионского ПО, разрабатывая инструменты, которые используются для использования уязвимостей нулевого дня для осуществления атак на пользователей iOS и Android в Италии и Казахстане.
RCS Lab использует комбинацию тактик, включая нетипичные загрузки drive-by, в качестве первоначальных векторов и отправляет ссылки, которые при нажатии предлагают пользователю загрузить и установить вредоносное приложение на устройства Android или iOS.
Компания на дает никаких комментариев и не отвечает на запросы по электронной почте. На своем веб-сайте фирма рекламирует, что она предлагает «полные законные услуги перехвата, при этом более 10 000 перехваченных целей ежедневно обрабатываются только в Европе».
GOOGLE TAG, со своей стороны, заявил, что наблюдал за шпионскими кампаниями, используя возможности, которые он приписывает RCS Lab. RCS iOS drive-by следует инструкциям Apple по распространению собственных приложений на устройства Apple. Он использует протоколы ITMS (IT Management Suite) и подписывает приложения с полезной нагрузкой сертификатом 3-1 Mobile, итальянской компании, зарегистрированной в программе Apple Developer Enterprise. Полезная нагрузка iOS разбита на несколько частей, используя четыре общеизвестных эксплойта — LightSpeed, SockPuppet, TimeWaste, Avecesare — и два недавно идентифицированных эксплойта, внутренне известных как Clicked2 и Clicked 3.
Android drive-by полагается на пользователей, позволяющих устанавливать приложение, которое маскируется под законное приложение, отображающее официальный значок Samsung. Чтобы защитить своих пользователей, Google внесла изменения в Google Play Protect и отключила проекты Firebase, используемые в качестве C2 — методы командования и управления, используемые для связи с затронутыми устройствами. Кроме того, Google перечислил несколько признаков компрометации (IOC) в своем блоге, чтобы помочь специалистам по безопасности обнаружить вторжения.