Le groupe d'analyse des menaces (TAG) de Google a identifié le fournisseur italien RCS Lab comme le créateur de logiciels espions, développant des outils utilisés pour exploiter les vulnérabilités du jour zéro afin d'attaquer les utilisateurs d'appareils mobiles iOS et Android en Italie et au Kazakhstan.

Selon un article de blog de Google jeudi, RCS Lab utilise une combinaison de tactiques, y compris des téléchargements atypiques en voiture comme vecteurs d'infection initiaux. La société a développé des outils pour espionner les données privées des appareils cibles, selon le post.

RCS Lab, basé à Milan, affirme avoir des filiales en France et en Espagne et a répertorié les agences gouvernementales européennes parmi ses clients sur son site Web. Il prétend fournir des "solutions techniques avancées" dans le domaine de l'interception légale.

La société n'était pas disponible pour commenter et n'a pas répondu aux demandes de renseignements par courrier électronique. Dans une déclaration à Reuters, RCS Lab a déclaré: "Le personnel de RCS Lab n'est exposé ni impliqué dans aucune activité menée par les clients concernés."

Sur son site Internet, l'entreprise annonce qu'elle offre "des services d'interception légaux complets, avec plus de 10.000 XNUMX cibles interceptées traitées quotidiennement rien qu'en Europe".

Le TAG de Google, pour sa part, a déclaré avoir observé des campagnes de logiciels espions utilisant des fonctionnalités qu'il attribue au laboratoire RCS. Les campagnes proviennent d'un lien unique envoyé à la cible, qui, lorsqu'il est cliqué, tente d'inciter l'utilisateur à télécharger et installer une application malveillante. sur les appareils Android ou iOS.

Cela semble être fait, dans certains cas, en travaillant avec le FAI de l'appareil cible pour désactiver la connectivité des données mobiles, a déclaré Google. Ensuite, l'utilisateur reçoit un lien de téléchargement d'application par SMS, soi-disant pour retrouver la connectivité des données.

Pour cette raison, la plupart des applications se présentent comme des applications d'opérateurs mobiles. Lorsque l'implication du FAI n'est pas possible, les applications se font passer pour des applications de messagerie.

Téléchargements dans la voiture autorisés

Définie comme des téléchargements que les utilisateurs autorisent sans comprendre les conséquences, la technique de "conduite avec permis" a été une méthode récurrente utilisée pour infecter les appareils iOS et Android, a déclaré Google.

Le lecteur iOS RCS suit les directives d'Apple pour la distribution d'applications internes propriétaires sur les appareils Apple, a déclaré Google. Il utilise les protocoles ITMS (IT Management Suite) et signe les applications porteuses de charge utile avec un certificat de 3-1 Mobile, une société basée en Italie inscrite au programme Apple Developer Enterprise.

La charge utile iOS est divisée en plusieurs parties, tirant parti de quatre exploits publiquement connus : LightSpeed, SockPuppet, TimeWaste, Avecesare et deux exploits récemment identifiés connus en interne sous les noms de Clicked2 et Clicked 3.

Android drive-by repose sur les utilisateurs permettant l'installation d'une application qui se fait passer pour une application légitime affichant une icône Samsung officielle.

Pour protéger ses utilisateurs, Google a apporté des modifications à Google Play Protect et a désactivé les projets Firebase utilisés comme C2, les techniques de commande et de contrôle utilisées pour les communications avec les appareils concernés. En outre, Google a inclus certains indicateurs de compromission (IOC) dans le message pour avertir les victimes d'Android.

Copyright © 2022 IDG Communications, Inc.

Share