Google: ISP-k is segítették az olasz kémszoftvergyártót

A kereskedelmi kémszoftverek piacának virágzását ékesen bizonyítja, hogy a Google kiberfenyegetés-felderítő divíziója, a TAG (Threat Analysis Group) több, mint 30 kémszoftvergyártót kísér figyelemmel, akik állami szereplőknek árulnak felügyeleti megoldásokat. A „produktivitás” a nulladik napi (0-day) hibák számában is mérhető: a TAG által 2021 során azonosított, összesen 9 nulladik napi hiba közül 7-hez pontosan ilyen cégek által készült exploit.

A TAG legutóbbi jelentésében az olasz RCS Labs módszereibe nyújt némi betekintést. A bemutatott támadókampányok alapvetően egy tipikus támadási láncra épültek, miszerint az áldozat eszközére egy hivatkozást tartalmazó üzenet érkezett, amiben a támadók egy androidos vagy egy iOS-es ─ attól függően, hogy milyen platformot használt az illető ─ káros alkalmazás letöltésére próbálták rávenni a felhasználót. A TAG azonban egy kiemelésre méltó taktikát is felfedezett, ugyanis a jelek szerint a kémszoftvergyártó időnként internetszolgáltatók segítségét is igénybe vette.

“Úgy gondoljuk, hogy egyes esetekben ezek a fenyegetési szereplők együttműködtek a célpont internetszolgáltatójával, hogy letiltsák a célpont mobil adatkapcsolatát. A letiltást követően a támadó egy rosszindulatú linket küldött SMS-ben, amelyben arra kérte a célpontot, hogy telepítsen egy alkalmazást az adatkapcsolat helyreállításához.” ─ olvasható a Google által közzétett jelentésben. „Feltételezzük, hogy ez az oka annak, hogy a káros alkalmazások többsége mobilszolgáltatói alkalmazásnak álcázta magát. Ha az internetszolgáltató bevonása nem volt lehetséges, a kémszoftvereket üzenetküldő alkalmazásnak álcázták.”

A TAG szerint a mobilos spyware-ek telepítéséhez a támadók sok esetben nem is alkalmaznak exploitokat, a káros kódok weboldalakon keresztül (drive-by-download) is a céleszközre juttathatók. iOS esetében a támadók egyszerűen követik az Apple házon-belüli alkalmazások telepítésére vonatkozó instrukcióit, amivel gyakorlatilag megvalósítható az iOS appok külső forrásból történő telepítése. Android esetén ez sokkal egyszerűbben kivitelezhető, erre elég egyszerűen engedélyt kérni a felhasználótól.

A hírhez kapcsolódik továbbá, hogy a Lookout Threat Lab kutatói nemrég azonosítottak egy androidos káros kódot (Hermit), amiről feltételezik, hogy azt az RCS Lab készítette, és a kazah kormányzat használta egyének megfigyelésére.

(securityaffairs.co)