Google: Apple και Android phones παραβιάστηκαν από ιταλικό spyware

Η Ομάδα Ανάλυσης Απειλών (TAG) της Google αποκάλυψε σήμερα ότι η RCS Labs, ένας ιταλικός spyware vendor, έχει λάβει βοήθεια από ορισμένους παρόχους υπηρεσιών Διαδικτύου (ISP) για να μολύνει χρήστες Android Και iOS στην Ιταλία και το Καζακστάν με εργαλεία εμπορικής παρακολούθησης.

spyware

Η RCS LABS είναι μόνο ένας από τους 30 προμηθευτές spyware των οποίων η δραστηριότητα παρακολουθείται επί του παρόντος από την Google, σύμφωνα με τους αναλυτές της Google TAG Benoit Sevens και Clement Lecigne.

Κατά τη διάρκεια επιθέσεων που χρησιμοποίησαν drive-by-downloads για να μολύνουν πολλά θύματα, ζητήθηκε από τους στόχους να εγκαταστήσουν κακόβουλες εφαρμογές (καμουφλαρισμένες ως νόμιμες εφαρμογές κινητής τηλεφωνίας) για να επανέλθουν στο διαδίκτυο μετά τη διακοπή της σύνδεσης τους στο Διαδίκτυο με τη βοήθεια του ISP τους.

«Σε ορισμένες περιπτώσεις, πιστεύουμε ότι οι απειλητικοί παράγοντες συνεργάστηκαν με το ISP του στόχου για να απενεργοποιήσουν τη συνδεσιμότητα δεδομένων κινητής τηλεφωνίας του στόχου», υποστηρίζει η έκθεση.

«Μόλις απενεργοποιηθεί, ο εισβολέας στέλνει έναν κακόβουλο σύνδεσμο μέσω SMS ζητώντας από τον στόχο να εγκαταστήσει μια εφαρμογή για να ανακτήσει τη συνδεσιμότητα των δεδομένων του.»

Εάν δεν μπορούσαν να εργαστούν απευθείας με τους ISPs των στόχων τους, συγκάλυπταν τις κακόβουλες εφαρμογές ως εφαρμογές ανταλλαγής μηνυμάτων.

Τις ώθησαν με την χρήση μιας σελίδας υποστήριξης που ισχυριζόταν ότι βοηθούσε τα πιθανά θύματα να ανακτήσουν τους λογαριασμούς τους που είχαν τεθεί σε αναστολή στο Facebook, το Instagram ή το WhatsApp.

Ωστόσο, ενώ οι συνδέσμοι Facebook και Instagram θα τους επέτρεπαν να εγκαταστήσουν τις επίσημες εφαρμογές, όταν έκαναν κλικ στο WhatsApp link κατέληγαν να εγκαταστήσουν μια κακόβουλη έκδοση της νόμιμης εφαρμογής WhatsApp.

Πολλαπλά exploits (μερικά από αυτά zero-days) που χρησιμοποιούνται για επιτήρηση

Η Google λέει ότι οι κακόβουλες εφαρμογές που αναπτύσσονται στις συσκευές των θυμάτων δεν ήταν διαθέσιμες στο Apple App Store ή στο Google Play. Ωστόσο, οι εισβολείς φόρτωσαν την έκδοση iOS (υπογεγραμμένη με εταιρικό πιστοποιητικό) και ζήτησαν από τον στόχο να ενεργοποιήσει την εγκατάσταση εφαρμογών από άγνωστες πηγές.

Η εφαρμογή iOS που εντοπίστηκε σε αυτές τις επιθέσεις συνοδεύτηκε από πολλά built-in exploits που της επέτρεπαν να κλιμακώσει τα προνόμια της παραβιασμένης συσκευής και να κλέψει αρχεία.

Συνολικά, συνδύασε έξι διαφορετικά exploits:

  • Το CVE-2018-4344 αναφέρεται εσωτερικά και είναι δημοσίως γνωστό ως LightSpeed.
  • Το CVE-2019-8605 αναφέρεται εσωτερικά ως SockPort2 και δημοσίως γνωστό ως SockPuppet
  • Το CVE-2020-3837 αναφέρεται εσωτερικά και είναι δημόσιως γνωστό ως TimeWaste.
  • Το CVE-2020-9907 αναφέρεται εσωτερικά ως AveCesare.
  • To CVE-2021-30883 αναφέρεται εσωτερικά ως Clicked2, το οποίο επισημάνθηκε ως εκμετάλλευση in-the-wild από την Apple τον Οκτωβριο του 2021.
  • Το CVE-2021-30983 αναφέρεται εσωτερικά ως Clicked3, που διορθώθηκε απο την Apple τον Δεκέμβριο του 2021.

“Ολα τα exploits που χρησιμοποιήθηκαν πριν από το 2021 βασίζονται σε δημόσια exploits που γράφτηκαν από διαφορετικές κοινότητες jailbreaking. Κατά τη στιγμή της ανακάλυψης, πιστεύουμε ότι το CVE-2021-30883 και το CVE-2021-30983 ήταν δύο 0-day exploits”, πρόσθεσαν.

Από την άλλη πλευρά, η κακόβουλη εφαρμογή Android ήρθε χωρίς “bundled exploits. Παρόλα αυτά, διέθετε δυνατότητες που θα της επέτρεπαν να κατεβάζει και να εκτελεί πρόσθετα modules χρησιμοποιώντας το DexClassLoader API.

Η Google έχει προειδοποιήσει τα θύματα Android ότι οι συσκευές τους παραβιάστηκαν και μολύνθηκαν με λογισμικό υποκλοπής spyware, το οποίο ονομάστηκε Hermit από τους ερευνητές ασφαλείας της Lookout σε μια λεπτομερή ανάλυση αυτού του εμφυτεύματος που δημοσιεύθηκε την περασμένη εβδομάδα.

Πηγή πληροφοριών: bleepingcomputer.com

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ