Le autorità dei paesi europei hanno utilizzato gli attacchi sviluppati dalla società italiana RCS Lab per raccogliere dati da iPhone e telefoni Android, ha affermato Google in un rapporto.
Secondo Google, ha trovato cinque esempi di telefoni monitorati da RCS Lab in Italia e Kazakistan. Tuttavia, RCS Lab ha come clienti agenti di polizia in diversi altri paesi europei e sembra probabile che questi abbiano utilizzato anche i mezzi forniti da RCS Lab per accedere alle informazioni telefoniche.
Gli attacchi offerti da RCS Lab non erano così pericolosi come quelli implementati in precedenza con lo strumento Pegasus del gruppo israeliano NSO, poiché le vulnerabilità sfruttate da RCS Lab richiedevano all’utente di aprire attivamente un collegamento Web sul dispositivo e installare l’applicazione fornita attraverso di esso.
Tuttavia, Google afferma che RCS Lab ha sviluppato un modo astuto per convincere gli utenti ad aprire la pagina Web utilizzata nell’attacco e a seguirne le istruzioni.
Secondo Google, in alcuni casi, l’utilizzo di una connessione dati mobile da parte di un utente iPhone che faceva parte dell’attacco è stato bloccato in collaborazione con il vettore. Gli aggressori hanno quindi inviato un messaggio di testo contenente un collegamento in cui si ordinava loro di installare la presunta applicazione del vettore per riattivare la connessione dati mobile. La distribuzione di applicazioni malware ha sfruttato l’approccio di Apple all’installazione di applicazioni per uso aziendale.
Pertanto, nessuna vulnerabilità è stata sfruttata per ottenere malware sul telefono e gli exploit del sistema operativo non sono stati sfruttati fino a quando il malware non ha raccolto dati dal telefono.
“Questa campagna è un buon promemoria del fatto che gli aggressori non utilizzano sempre le vulnerabilità per ottenere le autorizzazioni di cui hanno bisogno”, commenta Google in un post sul blog.
Apple ha corretto tutte e sei le vulnerabilità note sfruttate da RCS Lab in vari aggiornamenti del sistema operativo iOS negli ultimi anni ((iOS 12, 12.3, iOS 13.3.1, iOS 13.6, iOS 15.0.2 e iOS 15.2)).
Gli utenti di telefoni Android, d’altra parte, hanno cercato di indurre il malware a installare un’app che sembrava provenire da Samsung.
Di conseguenza, gli aggressori hanno ottenuto l’accesso a dati come messaggi e contatti dai telefoni Android e iPhone esposti al malware.
Per aiutare a proteggere gli utenti Android, Google afferma di aver notificato il monitoraggio delle vittime e di aver apportato modifiche a Google Play Protect.
Il team di sicurezza di Google Threat Analysis Group (TAG) è responsabile del monitoraggio degli attacchi mirati e sponsorizzati dallo stato. Delle nove vulnerabilità zero-day scoperte da TAG nel 2021, sette diversi attori commerciali avevano sviluppato vulnerabilità che sfruttavano le vulnerabilità. In totale, TAG monitora più di 30 diversi attori che vendono attacchi o strumenti di sorveglianza ad attori statali, ad esempio.