Google’ın Tehdit Analizi Grubu (TAG), İtalyan satıcı RCS Lab’i casus yazılım suçlu, istismar etmek için kullanılan araçlar geliştirmek sıfır gün İtalya ve Kazakistan’daki iOS ve Android mobil kullanıcılarına yönelik saldırıları etkileyecek güvenlik açıkları.
Bir Google’a göre Blog yazısı Perşembe günü, RCS Lab, ilk enfeksiyon vektörleri olarak atipik arabadan indirmeler de dahil olmak üzere bir taktik kombinasyonunu kullanıyor. Gönderi, şirketin hedeflenen cihazların özel verilerini gözetlemek için araçlar geliştirdiğini söyledi.
Milano merkezli RCS Lab, Fransa ve İspanya’da iştirakleri olduğunu iddia ediyor ve web sitesinde Avrupa devlet kurumlarını müşterileri olarak listeledi. Yasal müdahale alanında “en son teknik çözümler” sunduğunu iddia ediyor.
Şirket yorum yapmak için müsait değildi ve e-posta sorgularına yanıt vermedi. bir açıklamada ReutersRCS Lab, “RCS Lab personeli maruz kalmaz veya ilgili müşteriler tarafından yürütülen herhangi bir faaliyete katılmaz” dedi.
Web sitesinde firma, “yalnızca Avrupa’da günlük olarak ele alınan 10.000’den fazla ele geçirilen hedefle eksiksiz yasal dinleme hizmetleri” sunduğunun reklamını yapıyor.
Google’dan TAG, RCS Lab’a atfedilen yetenekleri kullanan casus yazılım kampanyalarını gözlemlediğini söyledi. Kampanyalar, hedefe gönderilen ve tıklandığında kullanıcının Android veya iOS cihazlarına kötü amaçlı bir uygulama indirmesini ve yüklemesini sağlamaya çalışan benzersiz bir bağlantıyla başlatılır.
Google, bunun, bazı durumlarda, mobil veri bağlantısını devre dışı bırakmak için hedef cihazın ISP’si ile çalışarak yapıldığını söyledi. Daha sonra kullanıcı, görünüşte veri bağlantısını kurtarmak için SMS yoluyla bir uygulama indirme bağlantısı alır.
Bu nedenle uygulamaların çoğu mobil operatör uygulaması görünümündedir. ISS katılımı mümkün olmadığında, uygulamalar mesajlaşma uygulamaları gibi görünür.
Yetkili arabadan indirmeler
Google, kullanıcıların sonuçlarını anlamadan yetkilendirdiği indirmeler olarak tanımlanan “yetkilendirilmiş sürüş” tekniğinin hem iOS hem de Android cihazlara bulaşmak için kullanılan tekrarlayan bir yöntem olduğunu söyledi.
Google, RCS iOS’un özel şirket içi uygulamaları Apple cihazlarına dağıtmak için Apple talimatlarını izlediğini söyledi. ITMS (BT yönetim paketi) protokollerini kullanır ve Apple Developer Enterprise programına kayıtlı İtalya merkezli bir şirket olan 3-1 Mobile’dan alınan sertifika ile yük taşıyan uygulamaları imzalar.
iOS yükü birden fazla parçaya bölünerek, genel olarak bilinen dört açıktan (LightSpeed, SockPuppet, TimeWaste, Avecesare) ve dahili olarak Clicked2 ve Clicked 3 olarak bilinen, yakın zamanda tespit edilen iki açıktan yararlanır.
Android sürücüsü, resmi bir Samsung simgesi görüntüleyen meşru bir uygulama olarak kendini gizleyen bir uygulamanın yüklenmesini sağlayan kullanıcılara dayanır.
Google, kullanıcılarını korumak için Google Play Protect’te değişiklikler uyguladı ve etkilenen cihazlarla iletişim için kullanılan komut ve kontrol teknikleri olan C2 olarak kullanılan Firebase projelerini devre dışı bıraktı. Ek olarak Google, Android kurbanlarını uyarmak için gönderiye birkaç uzlaşma göstergesi (IOC) ekledi.
Telif Hakkı © 2022 IDG Communications, Inc.