Хакерские инструменты итальянской компании RCS Lab использовались для слежки за пользователями смартфонов Apple и Android в Италии и Казахстане, сообщили эксперты компании Google. Более того, для заражения устройств итальянский поставщик спайвари якобы получал помощь от некоторых интернет-провайдеров.
По словам аналитиков Google TAG, компания RCS Labs является лишь одним из 30 поставщиков шпионского ПО, активность которых они отслеживают. Эта миланская компания, заявляет, что работает с 1993 года и уже более двадцати лет обеспечивает «правоохранительные органы всего мира передовыми технологическими решениями и технической поддержкой в области легального мониторинга и перехвата информации».
Исследователи пишут, что во время drive-by атак, которые использовались для заражения девайсов нескольких жертв, пользователям предлагалось установить вредоносные приложения (в том числе замаскированные под легитимные приложения мобильных операторов), якобы чтобы вернуться в онлайн, после того как интернет-соединение было прервано на стороне провайдера.
«Мы считаем, что в некоторых случаях злоумышленники сотрудничали с интернет-провайдером жертвы, чтобы отключить ей мобильную передачу данных, — говорится в отчете. — После отключения злоумышленник отправлял вредоносную ссылку через SMS с просьбой установить приложение для восстановления подключения».
Аналитики пишут, что вредоносные приложения, развернутые на устройствах жертв, не были доступны через магазины Apple App Store или Google Play. Однако злоумышленники предлагали малварь для iOS (подписанную корпоративным сертификатом) и просили жертв разрешить установку приложений из неизвестных источников.
Приложение для iOS, замеченное в этих атаках, имело шесть встроенных эксплоитов, позволявших повышать привилегии на скомпрометированном устройстве и воровать файлы:
- CVE-2018-4344 уязвимость известная как LightSpeed;
- CVE-2019-8605 уязвимость известная как SockPuppet (внутреннее название Google — SockPort2);
- CVE-2020-3837 уязвимость известная как LightSpeed;
- CVE-2020-9907 внутреннее название бага в Google — AveCesare;
- CVE-2021-30883 внутреннее название бага в Google —Clicked2, проблема эксплуатируется с октября 2021 года;
- CVE-2021-30983 внутреннее название бага в Google —Clicked3, исправлен Apple в декабре 2021 года.
«Все эксплоиты появились до 2021 года и были основаны на общедоступных эксплоитах, написанных различными сообществами джейлбрейкеров. На момент обнаружения атак мы сочли эксплоитами нулевого дня только CVE-2021-30883 и CVE-2021-30983», — говорят эксперты.
Что касается вредоносного приложения для Android, оно поставлялось без эксплоитов. При этом малварь обладала возможностями, которые позволяли загружать и выполнять дополнительные модули с помощью API DexClassLoader.
Google сообщает, что уже уведомил владельцев устройств на Android о том, что их девайсы были взломаны и заражены шпионским ПО. Также компания отключила проекты Firebase, используемые злоумышленниками для настройки управляющей инфраструктуры этой кампании.
Нужно сказать, что эту малварь для Android, получившую имя Hermit, детально изучили специалисты ИБ-компании Lookout, опубликовавшие отчет об угрозе на прошлой неделе. По их данным, Hermit представляет собой «модульное шпионское ПО», которое «злоупотреблять Accessibility services, может записывать звук, а также совершать и перенаправлять телефонные звонки, собирать и похищать такие данные, как журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения».
Исследователи отмечали, что модульность Hermit позволяет настраивать его для каждой конкретной жертвы, расширяя или изменяя функциональные возможности спайвари в зависимости от требований заказчика. При этом, к сожалению, не удалось понять, кто был мишенью обнаруженной кампании, и кто из клиентов RCS Lab был с этим связан.
Интересно, что, по данным Google TAG, семь из девяти уязвимостей нулевого дня, обнаруженных в 2021 году, были разработаны коммерческими поставщиками спайвари и уязвимостей, а затем проданы третьи сторонам и взяты на вооружение правительственными хакерами.
«Hermit — еще один пример цифрового оружия, которое применяется для атак на гражданских лиц и их мобильные устройства, а данные, собранные злоумышленниками, безусловно, являются неоценимыми», — комментируют отчеты своих коллег специалисты из компании Zimperium.
В Google TAG выражают обеспокоенность тем, что компании, подобные RCS Lab, «тайно накапливают уязвимости нулевого дня», что это создает серьезные риски, учитывая, что за последние десять лет ряд поставщиков шпионского ПО был скомпрометирован. Эксперты опасаются, что рано или поздно «запасы» таких компаний «могут быть обнародованы без предупреждения».