Redacción NM
Google reveló recientemente en una nueva publicación de blog que ha estado rastreando las actividades de los proveedores comerciales de spyware, incluido RCS Lab, con sede en Italia, que se descubrió que se dirigía a usuarios móviles en Italia y Kazajstán.
Los hallazgos fueron descubiertos por Threat Analysis Group o TAG de Google, que ha rastreado a más de 30 proveedores con «diferentes niveles de sofisticación y exposición pública que venden exploits o capacidades de vigilancia a actores respaldados por el gobierno», señala una publicación de blog de la compañía.
El software espía de RCS Lab ha sido acusado de usar una combinación de tácticas para victimizar a los usuarios de Android e iOS en las regiones afectadas. Esto incluye descargas no autorizadas atípicas como vectores de infección iniciales. Así es como funcionó el ataque para engañar a los usuarios para que instalaran aplicaciones maliciosas.
¿Cómo funciona la herramienta de spyware de RCS Lab?
El TAG de Google observó un patrón similar con todas las víctimas del poderoso ataque. Se envía un enlace único al objetivo, que cuando se hace clic, redirige al usuario a otra página y le permite descargar e instalar una aplicación maliciosa en su dispositivo Android o iOS.
Esta aplicación apuntaría a la conectividad de datos móviles de la víctima y la desactivaría. Sin embargo, este sería solo el primer paso en el ataque.
Se usó una página falsa como la que ves aquí para engañar a las personas para que descargaran aplicaciones maliciosas para «desbloquear su cuenta». (Fuente de la imagen: Google)
Una vez que los servicios de datos se han visto comprometidos, el atacante enviaría otro enlace malicioso a través de SMS, solicitando a los usuarios que instalen otra aplicación para reparar su conectividad de datos ahora deshabilitada. Estas aplicaciones usarían diferentes enfoques para teléfonos Android e iOS.
“Creemos que esta es la razón por la que la mayoría de las aplicaciones se hicieron pasar por aplicaciones de operadores móviles”, dijo Google en la publicación, y agregó que “cuando la participación del ISP no es posible, las aplicaciones se hacen pasar por aplicaciones de mensajería”.
Para los dispositivos iOS, los atacantes simplemente siguieron las instrucciones de Apple sobre cómo distribuir aplicaciones internas patentadas a los dispositivos Apple y usaron el protocolo itms-services con el siguiente archivo de manifiesto y usando com.ios.Carrier como identificador.
La aplicación atacante también estaría firmada con un certificado de una empresa llamada 3-1 Mobile SRL, lo que le permitiría cumplir con todos los requisitos de firma de código de iOS ya que la empresa estaba inscrita en el Programa Apple Developer Enterprise.
Estas aplicaciones de ataque se pueden descargar en los teléfonos en lugar de instalarse desde algo como la App Store. Luego, la aplicación usa múltiples exploits para escalar sus privilegios y extraer archivos importantes del dispositivo. En particular, todas las hazañas fueron públicas escritas por varias comunidades de jailbreak.
Para los teléfonos Android, el APK descargado requeriría que las víctimas primero habiliten la instalación de aplicaciones de fuentes desconocidas. La aplicación atacante se disfraza como una aplicación legítima de Samsung, e incluso obtiene un logotipo de Samsung para engañar a los usuarios.
Google reveló que si bien el APK en sí no contenía ningún exploit, su código insinuaba la presencia de exploits que podrían descargarse y ejecutarse en el dispositivo de destino.
“Esta campaña es un buen recordatorio de que los atacantes no siempre usan exploits para obtener los permisos que necesitan. Los vectores de infección básicos y las descargas automáticas aún funcionan y pueden ser muy eficientes con la ayuda de los ISP locales”, dijo Google en la publicación.
La industria del spyware comercial crece a un ritmo ‘preocupante’
Google mencionó en su publicación que el creciente uso de spyware debería preocupar a todos los usuarios. “Estos proveedores están permitiendo la proliferación de herramientas de piratería peligrosas y armando a los gobiernos que no podrían desarrollar estas capacidades internamente”, dijo.
Apple aún no ha emitido una respuesta a la declaración. Mientras tanto, RCS Labs ha negado cualquier irregularidad de su parte, diciendo que sus productos y servicios cumplen con las normas europeas y ayudan a las fuerzas del orden a investigar delitos, según un informe de Reuters. “El personal de RCS Lab no está expuesto ni participa en ninguna actividad realizada por los clientes relevantes”, dice el informe.
