Android
iOS
Ciberseguridad
Apple
Google

Una empresa italiana de software espía hackea dispositivos iOS y Android, según Google

El spyware RCS Lab utiliza exploits conocidos para instalar cargas útiles dañinas y robar datos privados de los usuarios, según un informe de Google.

seguridad_spyware_malware

El Grupo de Análisis de Amenazas (TAG) de Google ha identificado al proveedor italiano RCS Lab como un delincuente de software espía, que desarrolla herramientas que se utilizan para explotar vulnerabilidades de día cero para realizar ataques a usuarios de móviles iOS y Android en Italia y Kazajistán.

Según una publicación en el blog de Google el jueves, RCS Lab utiliza una combinación de tácticas, incluyendo descargas no utorizadas atípicas, como vectores iniciales de infección. La empresa ha desarrollado herramientas para espiar los datos privados de los dispositivos atacados, según la publicación.

RCS Lab, con sede en Milán, afirma tener filiales en Francia y España, y en su sitio web enumera los organismos gubernamentales europeos como clientes. Afirma ofrecer "soluciones técnicas de vanguardia" en el ámbito de la interceptación legal.

La empresa no estaba disponible para hacer comentarios y no respondió a las preguntas por correo electrónico. En una declaración a Reuters, RCS Lab ha dicho que "el personal de RCS Lab no está expuesto ni participa en ninguna actividad realizada por los clientes en cuestión".

En su página web, la empresa anuncia que ofrece "servicios completos de interceptación legal, con más de 10.000 objetivos interceptados manejados diariamente sólo en Europa".

El TAG de Google, por su parte, ha explicado que ha observado campañas de software espía que utilizan capacidades que atribuye a RCS Lab. Las campañas se originan con un enlace único enviado al objetivo que, al hacer clic, intenta que el usuario descargue e instale una aplicación maliciosa en dispositivos Android o iOS.

Esto parece hacerse, en algunos casos, trabajando con el ISP del dispositivo de destino para desactivar la conectividad de datos móviles, según Google. Posteriormente, el usuario recibe un enlace de descarga de la aplicación a través de un SMS, supuestamente para recuperar la conectividad de datos.

Por este motivo, la mayoría de las aplicaciones se hacen pasar por aplicaciones del operador de telefonía móvil. Cuando la participación del ISP no es posible, las aplicaciones se hacen pasar por aplicaciones de mensajería.

 

Descargas automáticas autorizadas

Definida como descargas que los usuarios autorizan sin entender las consecuencias, la técnica "conducción autorizada (drive-by)" ha sido un método recurrente utilizado para infectar tanto dispositivos iOS como Android, según afirma Google.

El drive-by RCS de iOS sigue las instrucciones de Apple para distribuir aplicaciones propias a los dispositivos de la marca, tal y como explica Google. Utiliza los protocolos ITMS (IT management suite) y firma las aplicaciones que contienen la carga útil con un certificado de 3-1 Mobile, una empresa con sede en Italia inscrita en el programa Apple Developer Enterprise.

La carga útil de iOS se divide en varias partes, aprovechando cuatro exploits conocidos públicamente -LightSpeed, SockPuppet, TimeWaste, Avecesare- y dos exploits identificados recientemente, conocidos internamente como Clicked2 y Clicked 3.

El drive-by de Android se basa en que los usuarios permiten la instalación de una aplicación que se disfraza de aplicación legítima que muestra un icono oficial de Samsung.

Para proteger a sus usuarios, Google ha implementado cambios en Google Play Protect y ha desactivado los proyectos de Firebase utilizados como C2, las técnicas de mando y control utilizadas para las comunicaciones con los dispositivos afectados. Además, Google ha enumerado algunos indicadores de compromiso (IOC) en su entrada del blog, para ayudar a los profesionales de la seguridad a detectar intrusiones.



TE PUEDE INTERESAR...

Webinar Ondemand

Revistas Digitales

DealerWorld Digital

IDG Research

Registro:

Eventos:

 

Partnerzones