RCS Lab hack: İtalya ve Kazakistan'daki Android, iOS kullanıcıları nasıl gözetlendi?
Google, yakın zamanda Milan'ın RCS Lab'inin ticari casus yazılımlarının yeni bir raporda İtalya ve Kazakistan'daki hem Android hem de iOS kullanıcılarını nasıl tehlikeye attığını ayrıntılı olarak açıkladı.
Google kısa süre önce yeni bir blog gönderisinde, İtalya ve Kazakistan'daki mobil kullanıcıları hedef aldığı tespit edilen İtalya merkezli RCS Lab de dahil olmak üzere ticari casus yazılım satıcılarının faaliyetlerini izlediğini açıkladı.
Bulgular, şirket tarafından yayınlanan bir blog gönderisinde, "farklı düzeylerde gelişmişlik ve kamuya açık açıktan yararlanma açıkları veya devlet destekli aktörlere gözetim yetenekleri" ile 30'dan fazla satıcıyı izleyen Google'ın Tehdit Analizi Grubu veya TAG tarafından keşfedildi.
RCS Lab'ın casus yazılımı, etkilenen bölgelerde hem Android hem de iOS kullanıcılarını mağdur etmek için bir taktik kombinasyonu kullanmakla suçlanıyor. Bu, ilk enfeksiyon vektörleri olarak atipik arabadan indirmeleri içerir. Saldırının, kullanıcıları kötü amaçlı uygulamalar yüklemeleri için kandırmak için nasıl çalıştığı aşağıda açıklanmıştır.
RCS Lab'ın casus yazılım aracı nasıl çalışır?
Google'ın TAG'si, güçlü saldırının tüm kurbanlarında benzer bir model gözlemledi. Hedefe, tıklandığında kullanıcıyı başka bir sayfaya yönlendiren ve Android veya iOS cihazlarına kötü amaçlı bir uygulama indirip yüklemelerini sağlayan benzersiz bir bağlantı gönderilir.
Bu uygulama, kurbanın mobil veri bağlantısını hedefler ve devre dışı bırakır. Ancak bu, saldırının sadece ilk adımı olacaktır.
Veri hizmetlerinin güvenliği ihlal edildikten sonra, saldırgan SMS yoluyla başka bir kötü amaçlı bağlantı göndererek kullanıcılardan şu anda devre dışı bırakılan veri bağlantılarını düzeltmek için başka bir uygulama yüklemelerini ister. Bu uygulamalar hem Android hem de iOS telefonlar için farklı yaklaşımlar kullanır.
Google, gönderide, "Uygulamaların çoğunun mobil operatör uygulaması gibi görünmesinin nedeninin bu olduğuna inanıyoruz" diyerek, "ISS katılımı mümkün olmadığında, uygulamaların mesajlaşma uygulamaları gibi göründüğünü" sözlerine ekledi.
Saldırganlar, iOS cihazları için, tescilli şirket içi uygulamaların Apple cihazlarına nasıl dağıtılacağına ilişkin Apple talimatlarını takip etti ve tanımlayıcı olarak com.ios.Carrier kullanarak aşağıdaki bildirim dosyasıyla itms-services protokolünü kullandı.
Saldıran uygulama aynı zamanda 3-1 Mobile SRL adlı bir şirketten alınan bir sertifika ile imzalanacak ve böylece şirket Apple Developer Enterprise Programı'na kaydolduğundan beri tüm iOS kod imzalama gereksinimlerini karşılamasını sağlayacak.
Bu saldırgan uygulamalar, App Store gibi bir yerden yüklenmek yerine telefonlara yüklenebilir. Uygulama daha sonra ayrıcalıklarını yükseltmek ve önemli dosyaları cihazdan çıkarmak için birden fazla istismar kullanır. Özellikle, tüm istismarlar, çeşitli jailbreak yapan topluluklar tarafından yazılan herkese açıktı.
Android telefonlar için indirilen APK, kurbanların önce bilinmeyen kaynaklardan uygulama yüklemesini etkinleştirmesini gerektirir. Saldıran uygulama, kendisini meşru bir Samsung uygulaması olarak gizler, hatta kullanıcıları kandırmak için bir Samsung logosu alır.
Google, APK'nın kendisinde herhangi bir istismar içermemesine rağmen kodunun, hedef cihazda indirilip yürütülebilecek istismarların varlığına işaret ettiğini açıkladı.
"Bu kampanya, saldırganların ihtiyaç duydukları izinleri elde etmek için her zaman açıklardan yararlanmadıklarını hatırlatıyor. Google, gönderide, temel enfeksiyon vektörleri ve indirmeye dayalı yüklemeler hala çalışıyor ve yerel İSS'lerin yardımıyla çok verimli olabilir" dedi.
Ticari Casus Yazılım endüstrisi "ilgili" oranda büyüyor
Google, yayınında artan casus yazılım kullanımının tüm kullanıcıları ilgilendirmesi gerektiğini belirtti. “Bu satıcılar, tehlikeli bilgisayar korsanlığı araçlarının yayılmasını sağlıyor ve bu yetenekleri kurum içinde geliştiremeyecek olan hükümetleri silahlandırıyor” dedi.
Apple, açıklamaya henüz bir yanıt vermedi. Bu arada, RCS Labs, Reuters tarafından hazırlanan bir rapora göre, ürün ve hizmetlerinin Avrupa kurallarına uygun olduğunu ve kolluk kuvvetlerinin suçları soruşturmasına yardımcı olduğunu söyleyerek, kendi tarafında herhangi bir yanlış yapmadığını reddetti. Raporda, "RCS Lab personeli, ilgili müşteriler tarafından yürütülen faaliyetlere maruz kalmıyor veya bunlara katılmıyor" dedi.