Google waarschuwt voor nieuwe spyware gericht op iOS- en Android-gebruikers

In hoorzittingen dit week, vertelde de beruchte spywareverkoper NSO-groep de Europese wetgevers dat ten minste vijf EU-landen zijn krachtige Pegasus-bewakingsmalware hebben gebruikt. Maar naarmate er steeds meer aan het licht komt over de realiteit van hoe de producten van NSO over de hele wereld zijn misbruikt, werken onderzoekers er ook aan om het bewustzijn te vergroten dat de surveillance-for-hire-industrie veel verder gaat dan één bedrijf. Donderdag publiceerden de Threat Analysis Group van Google en het kwetsbaarheidsanalyseteam van Project Zero bevindingen over de iOS-versie van een spywareproduct dat wordt toegeschreven aan de Italiaanse ontwikkelaar RCS Labs.

Google-onderzoekers zeggen dat ze slachtoffers van de spyware hebben gedetecteerd in Italië en Kazachstan op zowel Android- als iOS-apparaten. Vorige week publiceerde het beveiligingsbedrijf Lookout bevindingen over de Android-versie van de spyware, die het “Hermit” noemt en ook toeschrijft aan RCS Labs. Lookout merkt op dat Italiaanse functionarissen een versie van de spyware hebben gebruikt tijdens een anticorruptieonderzoek in 2019. Naast slachtoffers in Italië en Kazachstan, vond Lookout ook gegevens die erop wezen dat een niet-geïdentificeerde entiteit de spyware gebruikte voor het richten op het noordoosten van Syrië.

“Google volgt de activiteiten van commerciële spywareleveranciers al jaren en in die tijd hebben we de industrie snel zien uitbreiden van een paar leveranciers naar een heel ecosysteem”, vertelt TAG-beveiligingsingenieur Clement Lecigne aan WIRED. “Deze leveranciers maken de verspreiding van gevaarlijke hacktools mogelijk, waardoor overheden worden bewapend die deze mogelijkheden niet intern zouden kunnen ontwikkelen. Maar er is weinig of geen transparantie in deze branche, daarom is het van cruciaal belang om informatie over deze leveranciers en hun mogelijkheden te delen.”

TAG zegt dat het momenteel meer dan 30 spywaremakers volgt die een scala aan technische mogelijkheden en niveaus van verfijning bieden aan door de overheid gesteunde klanten.

In hun analyse van de iOS-versie ontdekten Google-onderzoekers dat aanvallers de iOS-spyware verspreidden met behulp van een nep-app die moest lijken op de My Vodafone-app van de populaire internationale mobiele provider. Bij zowel Android- als iOS-aanvallen hebben aanvallers eenvoudigweg doelen misleid om te downloaden wat leek op een berichten-app door een kwaadaardige link te verspreiden waarop slachtoffers konden klikken. Maar in enkele bijzonder dramatische gevallen van iOS-targeting ontdekte Google dat aanvallers mogelijk met lokale ISP’s hebben gewerkt om de mobiele gegevensverbinding van een specifieke gebruiker te verbreken, hen een kwaadaardige downloadlink via sms te sturen en hen te overtuigen de nep-My Vodafone-app te installeren. via wifi met de belofte dat dit hun mobiele service zou herstellen.

Aanvallers konden de kwaadaardige app verspreiden omdat RCS Labs zich had geregistreerd bij Apple’s Enterprise Developer Program, blijkbaar via een shell-bedrijf genaamd 3-1 Mobile SRL, om een ​​certificaat te verkrijgen waarmee ze apps kunnen sideloaden zonder het typische AppStore-beoordelingsproces van Apple te hoeven doorlopen.

Apple vertelt WIRED dat alle bekende accounts en certificaten die verband houden met de spywarecampagne zijn ingetrokken.

“Bedrijfscertificaten zijn alleen bedoeld voor intern gebruik door een bedrijf en zijn niet bedoeld voor algemene app-distributie, omdat ze kunnen worden gebruikt om App Store- en iOS-beveiligingen te omzeilen”, schreef het bedrijf in een rapport van oktober over sideloading. “Ondanks de strakke controles en de beperkte schaal van het programma, hebben kwaadwillenden ongeoorloofde manieren gevonden om er toegang toe te krijgen, bijvoorbeeld door bedrijfscertificaten op de zwarte markt te kopen.”

Leave a Comment