Hoe we deze iPhone hebben gedwarsboomd, Android-spyware • The Register

Volgens de Threat Analysis Group (TAG) van Google is spyware ontwikkeld door het Italiaanse bedrijf RCS Labs gebruikt om mobiele telefoons in Italië en Kazachstan aan te vallen – in sommige gevallen met de hulp van de mobiele operators van de slachtoffers.

Volgens de website van de provider omvatten de klanten van RCS Labs wetshandhavingsinstanties over de hele wereld. Het is een van de meer dan 30 bedrijven die worden gevolgd door Google-onderzoekers en die exploits of monitoringmogelijkheden verkopen aan door de overheid gesteunde groepen. En ons is verteld dat deze specifieke spyware op zowel iOS- als Android-telefoons draait.

We weten dat deze specifieke RCS-spionagecampagne met spyware vorige week werd gedocumenteerd door Lookout, die de toolkit “Hermit” noemde. Er is ons verteld dat het mogelijk in staat is om de chat-apps, camera en microfoon van slachtoffers, contactenboek en agenda’s, browser en klembord te bespioneren en die informatie terug naar de basis te sturen. De Italiaanse autoriteiten zouden dit instrument hebben gebruikt om corruptiezaken te bestrijden, en de Kazachse regering heeft het ook in handen gekregen.

Op donderdag van deze week onthulde TAG zijn analyse van de software en hoe het hielp de infectie te verminderen.

Volgens Google-medewerkers Benoit Sevens en Clement Lecigne kregen sommige slachtoffers sms-berichten met het verzoek een applicatie te installeren om hun mobiele dataverbinding te herstellen. Deze app heeft het apparaat daadwerkelijk geïnfecteerd met RCS-spyware. Het lijkt erop dat de snuffelaars die de monitoringtool gebruikten, de dragers van de slachtoffers misleidden om hun draadloze internetverbinding te verstoren, waardoor de daders werden overtuigd om de app te gebruiken.

“We denken dat dit de reden is waarom de meeste toepassingen zich voordoen als toepassingen voor mobiele dragers”, leggen Sevens en Lecigne uit.

In gevallen zonder telecomhulp stuurden de spionnen een link naar een pagina met kwaadaardige applicaties die zich voordeden als legitieme berichten-apps van Facebook’s moeder Meta. Het uitvoeren van deze programma’s heeft het apparaat geïnfecteerd met spyware.

Het downloaden en uitvoeren van de app op iOS vereiste een paar extra stappen vanwege de beveiligingsmaatregelen van het besturingssysteem: de app kwam bijvoorbeeld niet uit de officiële app store en zou daarom normaal worden afgewezen. Volgens Google-bugjagers volgden de snuffelaars in plaats daarvan het voorbeeld van Apple bij het distribueren van eigen interne apps naar iThings.

Hierdoor konden de schurken een app maken die digitaal was ondertekend door een bedrijf dat is geregistreerd bij het Apple Developer Enterprise Program, en belangrijker nog, een app die op het apparaat van een slachtoffer kon worden geïnstalleerd door hen te misleiden om het te gebruiken, te downloaden en vanaf een website te draaien.

De iPhone-app zelf bevat verschillende onderdelen, waaronder een misbruik van privilege-escalatie om te ontsnappen uit de sandbox waarin deze wordt uitgevoerd, samen met een agent die bestanden van iOS-apparaten kan stelen. In hun analyse analyseerden Sevens en Lecigne een app met exploitcode op de volgende kwetsbaarheden:

De beveiligingsonderzoekers zeiden dat CVE-2021-30883 en CVE-2021-30983 zero-day exploits zijn, en Project Zero publiceerde een technische analyse van de laatste.

Android-implementatie

Ondertussen werkte het installatieproces op Android als volgt: eerst wordt het slachtoffer een link naar een webpagina gestuurd die hen verleidt tot het downloaden en installeren van een kwaadaardige app die eruitziet als een legitieme Samsung-applicatie die bij het opstarten een webweergave opent die lijkt een legitieme website gerelateerd aan het pictogram.

Eenmaal geïnstalleerd, vraagt ​​het toestemming, gebruikt het berichtenservices zoals Firebase Cloud Messaging en Huawei Messaging Service voor command-and-control-communicatie en houdt het zich vervolgens bezig met spionage en gegevensdiefstal.

Het kan mogelijk ook extra malware downloaden, waarschuwen de onderzoekers. “Hoewel de APK zelf geen exploits bevat, suggereert de code de aanwezigheid van exploits die kunnen worden gedownload en uitgevoerd”, schrijven Sevens en Lecigne.

Ze vermeldden ook verschillende hashes van uitvoerbare bestanden, domeinen die werden gebruikt om de code te verspreiden, en command-and-control-domeinen en IP-adressen waarvan de aanwezigheid in logs zou kunnen wijzen op een gecompromitteerd apparaat.

Google heeft alle bekende Android-slachtoffers op de hoogte gebracht, wijzigingen aangebracht in Google Play Protect om uitvoering van RCS-code te blokkeren en het Firebase-project uitgeschakeld dat wordt gebruikt voor command-and-control-communicatie, zo is ons verteld. Dat zou hopelijk voorlopig de stekker eruit moeten trekken.

“Deze campagne is een goede herinnering dat aanvallers niet altijd exploits gebruiken om de benodigde machtigingen te verkrijgen”, voegde Sevens en Lecigne toe. “Basis infectievectoren en drive-by downloads werken nog steeds en kunnen zeer efficiënt zijn met de hulp van lokale ISP’s.” ®

Leave a Comment