Google предупреждава за нов шпионски софтуер, насочен към потребители на iOS и Android

В изслушвания това седмица, известната група NSO на доставчик на шпионски софтуер каза на европейските законодатели, че най-малко пет държави от ЕС са използвали неговия мощен зловреден софтуер за наблюдение Pegasus. Но тъй като става ясно за реалността на злоупотребата с продуктите на NSO по целия свят, изследователите също работят за повишаване на осведомеността, че индустрията за наблюдение срещу наемане надхвърля далеч отвъд една компания. В четвъртък групата за анализ на заплахите на Google и екипът за анализ на уязвимостите на Project Zero публикувамизд констатации за iOS версията на шпионски продукт, приписван на италианския разработчик RCS Labs.

Изследователи на Google казват, че са открили жертви на шпионски софтуер в Италия и Казахстан на устройства с Android и iOS. Миналата седмица охранителната фирма Lookout публикувани констатации относно версията на шпионски софтуер за Android, която той нарича „Hermit“ и също така приписва на RCS Labs. Lookout отбелязва, че италианските служители използва версия на шпионски софтуер по време на антикорупционно разследване през 2019 г. В допълнение към жертвите, разположени в Италия и Казахстан, Lookout също откри данни, сочещи, че неидентифициран субект е използвал шпионски софтуер за насочване в Североизточна Сирия.

„Google проследява дейността на доставчиците на търговски шпионски софтуер от години и през това време видяхме, че индустрията бързо се разраства от няколко доставчици до цяла екосистема“, казва инженерът по сигурността на TAG Клемент Лесинь пред WIRED. „Тези доставчици позволяват разпространението на опасни хакерски инструменти, въоръжавайки правителствата, които не биха могли да развият тези способности вътрешно. Но има малка или никаква прозрачност в тази индустрия, затова е от решаващо значение да се споделя информация за тези доставчици и техните възможности.”

TAG казва, че в момента проследява повече от 30 производители на шпионски софтуер, които предлагат набор от технически възможности и нива на сложност на клиенти, подкрепяни от правителството.

В своя анализ на версията за iOS изследователите на Google откриха, че нападателите разпространяват шпионски софтуер на iOS, използвайки фалшиво приложение, което трябва да изглежда като приложението My Vodafone от популярния международен мобилен оператор. Както при атаките на Android, така и при iOS, нападателите може просто да са подмамили целите да изтеглят това, което изглеждаше като приложение за съобщения, като разпространяват злонамерена връзка, върху която жертвите да щракнат. Но в някои особено драматични случаи на насочване към iOS, Google установи, че нападателите може да са работили с местни интернет доставчици, за да прекъснат мобилната връзка за данни на конкретен потребител, да им изпратят злонамерена връзка за изтегляне чрез SMS и да ги убедят да инсталират фалшивото приложение My Vodafone през Wi-Fi с обещанието, че това ще възстанови тяхната клетъчна услуга.

Нападателите успяха да разпространят зловредното приложение, тъй като RCS Labs се бяха регистрирали в програмата на Apple за разработчици на предприятия, очевидно чрез подставена компания, наречена 3-1 Mobile SRL, за да получат сертификат, който им позволява да зареждат приложения, без да преминават през типичния процес на Apple за преглед на AppStore.

Apple казва на WIRED, че всички известни акаунти и сертификати, свързани с кампанията за шпионски софтуер, са били отменени.

„Сертификатите за предприятие са предназначени само за вътрешна употреба от компания и не са предназначени за общо разпространение на приложения, тъй като могат да се използват за заобикаляне на защитите на App Store и iOS“, пише компанията в октомврийско съобщение доклад относно страничното зареждане. „Въпреки строгия контрол на програмата и ограничения мащаб, лошите участници са намерили неоторизирани начини за достъп до нея, например чрез закупуване на корпоративни сертификати на черния пазар.“

.