Как пишет Mezha, в мире обнаружили новый шпионский продукт для iOS, связанный с итальянским разработчиком RCS Labs. Данные о вредоносном ПО опубликовала группа анализа угроз Google и команда Project Zero по анализу уязвимостей.
Как пишет Mezha, в мире обнаружили новый шпионский продукт для iOS, связанный с итальянским разработчиком RCS Labs. Данные о вредоносном ПО опубликовала группа анализа угроз Google и команда Project Zero по анализу уязвимостей.
Исследователи Google говорят, что обнаружили жертв программы-шпиона в Италии и Казахстане, на устройствах как с iOS, так и Android. Недавно компания по кибербезопасности Lookout опубликовала данные об Android-версии программы, названной Hermit, и которая тоже принадлежит RCS Labs. В ходе анализа iOS-версии шпиона исследователи обнаружили, что он распространялся с помощью фейкового приложения, которое напоминало My Vodafone от итальянского оператора.
В случаях как с Android, так и с iOS злоумышленники предположительно обманом заставили жертв нажать на ссылку и загрузить приложение. В некоторых случаях с iOS они могли работать с местными провайдерами, чтобы оборвать мобильную связь и убедить, что установка фейкового приложения My Vodafone может его восстановить.
iOS стал особенно уязвимым из-за того, что RCS Labs зарегистрировались в программе Apple Enterprise Developer Program через фиктивную компанию и получили сертификат, позволяющий им загружать программы в обход типовой проверки AppStore. В Apple заявили, что уже отозвали известные аккаунты и сертификаты, связанные со шпионским ПО.
Google отслеживает использование коммерческих программ-шпионов годами, и за это время мы увидели, как отрасль быстро расширилась от нескольких поставщиков до целой экосистемы. Эти поставщики способствуют в распространении опасных хакерских инструментов, вооружая правительства, которые не могут разработать их у себя. Однако в этой области мало прозрачности, поэтому очень важно делиться информацией о таких поставщиках и их возможностях», — рассказал инженер по безопасности.
Lookout отмечает, что итальянские чиновники использовали версию программы еще в 2019 году во время антикоррупционного расследования. Кроме Италии и Казахстана компания нашла следы использования программы неизвестной организацией в Сирии.
