Google ha recentemente rivelato in un nuovo post sul blog di aver monitorato le attività di alcuni distributori di spyware commerciali, tra cui RCS Lab, con sede in Italia. Un organizzazione scoperta perchè prendeva di mira utenti di telefonia mobile in Italia e Kazakistan.
I risultati sono stati scoperti dal Threat Analysis Group o TAG di Google, che ha rintracciato oltre 30 fornitori con “che vendono exploit con capacità elevate di sorveglianza a persone sostenute dal governo“, osserva un post sul blog dell’azienda.
Lo spyware di RCS Lab è stato accusato di utilizzare una combinazione di tattiche per vittimizzare gli utenti Android e iOS nelle regioni colpite. Ecco come ha funzionato l’attacco per indurre gli utenti ad installare applicazioni dannose.
Il TAG di Google ha osservato uno schema simile con tutte le vittime dell’attacco. Viene inviato un collegamento univoco all’utente che, una volta cliccato, reindirizza il contenuto ad un’altra pagina che consente di scaricare e installare un’applicazione dannosa sul proprio dispositivo Android o iOS.
Questa app prenderebbe di mira la connettività dati mobile della vittima e la disabiliterebbe. Questo, tuttavia, sarebbe solo il primo passo dell’attacco.
Come funziona l’attacco su Android e iOS
Dopo che i servizi dati sono stati compromessi, l’attaccante invia un altro collegamento dannoso tramite SMS, chiedendo agli utenti di installare un’altra applicazione per riparare la rete dati ora disabilitata. Queste app userebbero approcci diversi sia per i telefoni Android che iOS.
“Riteniamo che questo sia il motivo per cui la maggior parte delle applicazioni è mascherata da applicazioni per operatori mobili“, ha affermato Google nel post, aggiungendo che “quando il coinvolgimento dell’ISP non è possibile, le applicazioni sono mascherate da applicazioni di messaggistica”.
Per i dispositivi iOS, gli aggressori hanno semplicemente seguito le istruzioni Apple su come distribuire app interne proprietarie ai dispositivi Apple e hanno utilizzato il protocollo itms-services con il seguente file manifest e utilizzando com.ios.Carrier come identificatore.