Operatorzy internetowi biorą udział w szpiegowaniu klientów

O zagrożeniach można poczytać nawet w piątek wieczorem. Zwłaszcza o takich, które pochodzą od legalnych firm, a wykryło je Google. Żeby nie przedłużać – specjaliści z Threat Analysis Group (TAG) – czyli należącej do Google ekipy zajmującej się cyberbezpieczeństwem, napisali wczoraj na blogu, że włoski wydawca szpiegującego oprogramowania RCS Lab otrzymywał pomoc od niektórych dostawców usług internetowych (ISP) w infekowaniu urządzeń z systemem Android i iOS. Działo się to we Włoszech i Kazachstanie, a do inwigilacji używano komercyjnych narzędzi sprzedawanych przez tę firmę.

RCS Labs nie jest jedynym podmiotem, którego współpracę z ISP w zakresie szpiegowania odkryło Google. Takich firm jest jeszcze przynajmniej 30, a ich aktywność jest obecnie śledzona przez TAG. Informacje te przekazało dwóch analityków grupy – Benoit Sevens i Clement Lecigne.

Zobacz również:

• Najnowszy, najszybszy, najlepszy. Sprawdzamy czym jest Pixel UI - nakładka na Androida prosto od Google

Podczas ataków, w których wykorzystywano do infekowania smartfonów metodę drive-by-download, ich właściciele byli poproszeni via SMS, o zainstalowanie złośliwych aplikacji udających legalne programy operatorów komórkowych. Miały one rzekomo przywrócić dostęp do internetu, po wcześniejszym odcięciu połączenia przez dostawcę usług internetowych.

– Uważamy, że w niektórych przypadkach, operatorzy szpiegowskich aplikacji współpracowali z dostawcą usług internetowych inwigilowanych osób, aby ten wyłączył im mobilną transmisję danych – twierdzi TAG w swoim raporcie.

– Po zamknięciu połączenia atakujący wysyłał link do złośliwej aplikacji za pomocą SMS-a, prosząc ofiarę o jej zainstalowanie w celu odzyskania dostępu do internetu.

Jak szpiedzy działali, zanim zaczęli współpracę z operatorami?

Zanim osoby stojące za szpiegowskimi incydentami zaczęły nawiązywać kontakty z ISP, próbowały wabić swoje ofiary za pomocą fałszywych stron wsparcia. Na przykład oferowały im pomoc w zakresie odzyskiwania zawieszonych kont na Facebooku, Instagramie lub WhatsAppie. Stamtąd osoby, które miały stać się ofiarami szpiegów, pobierały złośliwe aplikacje do złudzenia przypominające legalny program WhatsApp. Żeby uwiarygodnić proceder, ze złośliwych stron można było pobierać autentyczne aplikacje Facebook i Instagram.

Programy używane do inwigilacji zawierały exploity zero-day

Google twierdzi, że złośliwe aplikacje instalowane na urządzeniach ofiar nie były dostępne w Apple App Store ani Google Play. Jednak atakującym udawało się przekonać swoje ofiary do zgody na instalację aplikacji z nieznanych źródeł. Aplikacja na iOS zastosowana do tych ataków zawierała kilka wbudowanych exploitów, które umożliwiały jej eskalację uprawnień na zaatakowanym urządzeniu i kradzież plików.

– Szpiegowski program zawiera paczkę exploitów służących do eskalacji uprawnień, które są z kolei wykorzystywane przez sześć innych exploitów. Aplikacja zawiera również niewielki program zdolny do eksfiltracji interesujących plików z urządzenia, takich jak na przykład baza danych WhatsApp – wyjaśniają analitycy.

W złośliwej aplikacji na iOS badacze z TAG znaleźli w sumie sześć różnych exploitów:

• CVE-2018-4344 znany jako LightSpeed;
• CVE-2019-8605 znany jako SockPort2 lub SockPuppet;
• CVE-2020-3837 znany jako TimeWaste;
• CVE-2020-9907 znany jako AveCesare;
• CVE-2021-30883 znany jako Clicked2, oznaczony październiku 2021 r. przez firmę Apple jako exploit „in-the-wild”;
• CVE-2021-30983 znany jako Clicked3, usunięty przez Apple w grudniu 2021 r.

– Wszystkie exploity wykorzystywane przed 2021 r. są oparte na publicznych exploitach napisanych przez różne społeczności zajmujące się jailbreakingiem. W tym momencie uważamy, że CVE-2021-30883 i CVE-2021-30983 były dwoma exploitami 0-day – piszą ludzie z TAG.

Aplikacja na Androida bez exploitów

Według analityków z TAG złośliwa aplikacja na Androida nie zawierała żadnych exploitów. Mimo to miała możliwości pobierania i uruchamiania dodatkowych modułów za pomocą interfejsu API DexClassLoader.

Google powiadamia zaatakowanych, gdy ich urządzenia są hakowane

Google niedawno ostrzegło ofiary używające telefonów z Androidem, że ich urządzenia zostały zhakowane i zainfekowane oprogramowaniem szpiegującym nazwanym Hermit. Badacze bezpieczeństwa z firmy Lookout poddali Hermita szczegółowej analizie opublikowanej w zeszłym tygodniu. Twierdzą w niej, że Hermit to „modułowe oprogramowanie służące do nadzoru” o sporych możliwościach.

– Może ono nagrywać dźwięk oraz wykonywać i przekierowywać połączenia telefoniczne, a także zbierać dane, takie jak dzienniki połączeń, kontakty, zdjęcia, lokalizację urządzenia i wiadomości SMS – twierdzą specjaliści z Lookout.

Oprócz neutralizacji Hermita Google wyłączył również projekty Firebase wykorzystywane przez cyberprzestępców do konfigurowania infrastruktury zarządzania i kontroli na potrzeby tej kampanii.

W maju grupa Google TAG ujawniła kolejną kampanię, w której wspierani przez państwo cyberprzestępcy wykorzystali pięć luk w zabezpieczeniach „zero-day”, aby zainstalować oprogramowanie szpiegujące Predator opracowane przez komercyjnego dewelopera szpiegowskich aplikacji Cytrox.

– TAG aktywnie śledzi ponad 30 dostawców o różnym poziomie zaawansowania i publicznej ekspozycji, sprzedających exploity lub możliwości inwigilacji podmiotom wspieranym przez rządy – informuje Google.

Źródło: BleepingComputer