Il Threat Analysis Group (TAG) di Google ha identificato il fornitore italiano RCS Lab come il creatore di spyware, che sviluppa strumenti utilizzati per sfruttare le vulnerabilità zero-day per attaccare gli utenti di dispositivi mobili iOS e Android in Italia e Kazakistan.
Secondo un post sul blog di Google giovedì, RCS Lab utilizza una combinazione di tattiche, inclusi download drive-by atipici come vettori di infezione iniziali. L'azienda ha sviluppato strumenti per spiare i dati privati dei dispositivi di destinazione, secondo il post.
RCS Lab, con sede a Milano, afferma di avere filiali in Francia e Spagna e ha elencato le agenzie governative europee come suoi clienti sul suo sito web. Afferma di fornire "soluzioni tecniche avanzate" nel campo delle intercettazioni legali.
La società non era disponibile per commenti e non ha risposto alle richieste via e-mail. In una dichiarazione a Reuters, RCS Lab ha dichiarato: "Il personale di RCS Lab non è esposto o coinvolto in alcuna attività condotta dai clienti interessati".
Sul suo sito web, l'azienda pubblicizza che offre "servizi completi di intercettazione legale, con oltre 10.000 obiettivi intercettati elaborati giornalmente nella sola Europa".
Il TAG di Google, da parte sua, ha affermato di aver osservato campagne spyware utilizzando funzionalità che attribuisce a RCS Lab. Le campagne provengono da un collegamento univoco inviato al target, che quando viene cliccato, tenta di indurre l'utente a scaricare e installare un'app dannosa su dispositivi Android o iOS.
Ciò sembra essere fatto, in alcuni casi, lavorando con l'ISP del dispositivo di destinazione per disabilitare la connettività dei dati mobili, ha affermato Google. Successivamente, l'utente riceve un collegamento per il download dell'app tramite SMS, presumibilmente per riguadagnare la connettività dati.
Per questo motivo, la maggior parte delle app si pone come app per operatori mobili. Quando il coinvolgimento dell'ISP non è possibile, le app si mascherano da app di messaggistica.
Download in macchina consentiti
Definita come download che gli utenti consentono senza comprenderne le conseguenze, la tecnica "drive by enabled" è stata un metodo ricorrente utilizzato per infettare dispositivi iOS e Android, ha affermato Google.
L'iOS RCS Player segue le linee guida di Apple per la distribuzione di app interne proprietarie sui dispositivi Apple, ha affermato Google. Utilizza i protocolli ITMS (IT Management Suite) e firma le applicazioni a carico utile con un certificato di 3-1 Mobile, azienda italiana iscritta all'Apple Developer Enterprise Program.
Il carico utile di iOS è diviso in più parti. sfruttando quattro exploit noti pubblicamente: LightSpeed, SockPuppet, TimeWaste, Avecesare e due exploit recentemente identificati noti internamente come Clicked2 e Clicked 3.
Android drive-by si basa sugli utenti che consentono l'installazione di un'app che si maschera da app legittima che mostra un'icona Samsung ufficiale.
Per proteggere i propri utenti, Google ha implementato modifiche a Google Play Protect e ha disabilitato i progetti Firebase utilizzati come C2, tecniche di comando e controllo utilizzate per le comunicazioni con i dispositivi interessati. Inoltre, Google ha incluso alcuni Indicatori di Compromise (IOC) nel messaggio per avvertire le vittime di Android.
Copyright © 2022 IDG Communications, Inc.