El Grupo de Análisis de Amenazas (TAG) de Google ha identificado al proveedor italiano RCS Lab como creador de spyware, desarrollando herramientas que se utilizan para explotar vulnerabilidades de día cero para realizar ataques a usuarios de dispositivos móviles iOS y Android en Italia y Kazajstán.

Según una publicación de blog de Google del jueves, RCS Lab utiliza una combinación de tácticas, incluidas descargas automáticas atípicas como vectores de infección iniciales. La compañía ha desarrollado herramientas para espiar los datos privados de los dispositivos objetivo, según la publicación.

RCS Lab, con sede en Milán, afirma tener filiales en Francia y España y ha enumerado las agencias gubernamentales europeas como sus clientes en su sitio web. Afirma proporcionar «soluciones técnicas avanzadas» en el campo de la interceptación legal.

La compañía no estuvo disponible para hacer comentarios y no respondió a las consultas por correo electrónico. En un comunicado a Reuters, RCS Lab dijo: «El personal de RCS Lab no está expuesto ni está involucrado en ninguna actividad realizada por los clientes afectados».

En su sitio web, la firma anuncia que ofrece «servicios integrales de interceptación legal, con más de 10.000 objetivos interceptados procesados ​​​​diariamente solo en Europa».

TAG de Google, por su parte, dijo que ha observado campañas de spyware que utilizan funciones que atribuye al RCS Lab. Las campañas se originan a partir de un enlace único enviado al objetivo, que cuando se hace clic, intenta engañar al usuario para que descargue e instale una aplicación maliciosa en dispositivos Android o iOS.

Esto parece hacerse, en algunos casos, trabajando con el ISP del dispositivo de destino para deshabilitar la conectividad de datos móviles, dijo Google. Posteriormente, el usuario recibe un enlace de descarga de la aplicación a través de SMS, supuestamente para recuperar la conectividad de datos.

Por esta razón, la mayoría de las aplicaciones se hacen pasar por aplicaciones de operadores móviles. Cuando la participación del ISP no es posible, las aplicaciones se hacen pasar por aplicaciones de mensajería.

Descargas en el coche permitidas

Definida como descargas que los usuarios permiten sin comprender las consecuencias, la técnica de «conducir por permitido» ha sido un método recurrente utilizado para infectar dispositivos iOS y Android, dijo Google.

El iOS RCS Player sigue las pautas de Apple para distribuir aplicaciones internas patentadas en dispositivos Apple, dijo Google. Utiliza protocolos ITMS (IT Management Suite) y firma aplicaciones portadoras de carga útil con un certificado de 3-1 Mobile, una empresa con sede en Italia inscrita en el Programa Apple Developer Enterprise.

La carga útil de iOS se divide en varias partes. aprovechando cuatro exploits conocidos públicamente: LightSpeed, SockPuppet, TimeWaste, Avecesare, y dos exploits identificados recientemente, conocidos internamente como Clicked2 y Clicked 3.

El drive-by de Android depende de que los usuarios permitan la instalación de una aplicación que se disfraza como una aplicación legítima que muestra un ícono oficial de Samsung.

Para proteger a sus usuarios, Google implementó cambios en Google Play Protect y deshabilitó los proyectos de Firebase utilizados como C2, técnicas de comando y control utilizadas para las comunicaciones con los dispositivos afectados. Además, Google ha incluido algunos indicadores de compromiso (IOC) en el mensaje para advertir a las víctimas de Android.

Derechos de autor © 2022 IDG Communications, Inc.

Share This