Kaspersky Lab a publicat un raport care scoate la iveala o infrastructura internationala pentru administrarea implanturilor de malware Remote Control System (RCS) si identifica o serie de noi troieni, creati pentru a infecta dispozitive mobile – atat pe cele care au sisteme de operare Android cat si pe cele cu iOS.Aceste module fac parte din asa-numitul instrument «legal» de spyware, RCS, cunoscut sub numele de Galileo, dezvoltat de compania italiana HackingTeam.
Lista tintelor vizate include activisti si sustinatori ai drepturilor omului, precum si jurnalisti si politicieni, conform datelor din cea mai recenta cercetare efectuata de Kaspersky Lab impreuna cu partenerul sau Citizen Lab.
Implanturile mobile RCS
Desi existenta troienilor HackingTeam pentru sistemele de operare iOS si Android era deja cunoscuta in mod teoretic, nimeni nu ii identificase pana acum si nici nu ii observase vreodata in timpul atacurilor. Expertii Kaspersky Lab cerceteaza malware-ul RCS de mai bine de doi ani. La inceputul acestui an, acestia au identificat cateva mostre de programe pentru telefoanele mobile, care se potriveau cu alte configurari de malware RCS din colectia lor. Pe parcursul derularii cercetarilor, specialistii au primit alte noi variante de modele de la victime ale atacurilor, prin intermediul retelei de cloud Kaspersky Lab KSN. In plus, specialistii companiei au lucrat cu Morgan Marquis-Boire de la Citizen Lab care a cercetat in detaliu malware-ul HackingTeam.
Vectori de infectie: Operatorii din spatele Galileo RCS construiesc implanturi daunatoare pentru fiecare tinta concreta. Odata ce programul este finalizat, atacatorul o transmite la dispozitivul mobil al victimei. Printre vectorii de infectie cunoscuti se regasesc: spearphishing prin intermediul ingineriei sociale (cel mai adesea impreuna cu atacuri, inclusiv cele de tip «zero-day») si infectii locale prin intermediul cablurilor USB, in timpul sincronizarii dispozitivelor mobile cu computerele.
Una din descoperirile majore presupune actiunea specifica de infectare a unui iPhone de catre un troian Galileo: pentru ca acesta sa se intample, este necesar ca dispozitivul sa fie jailbroken. Totusi, si dispozitivele care nu sunt jailbroken pot deveni vulnerabile: un atacator poate rula un instrument precum ‘Evasi0n’ prin intermediul unui computer deja infectat si poate efectua un jailbreak de la distanta, urmat de o infectare. Pentru a evita riscurile, expertii Kaspersky Lab le recomanda utilizatorilor sa evite jailbreak-ul si sa-si actualizeze frecvent sistemul de operare iOS.
Spionare personalizata: Modulele mobile RCS sunt construite pentru a opera intr-o maniera discreta, acordand o mare atentie la bateria dispozitivului. Acest lucru este posibil prin actiuni atente de spying sau prin mecanisme speciale de declansare: de exemplu, o inregistrare audio poate incepe doar cand o victima este conectata la o anumita retea Wi-Fi (de exemplu reteaua unei firme), cand utilizatorul schimba cartela SIM sau in timpul incarcarii telefonului mobil.
In general, troienii RCS pentru dispozitivele mobile pot avea functii de supraveghere, oferind date despre localizarea tintei, fotografii ale acesteia, pot copia evenimentele din calendar si inregistra noi cartele SIM in momentul introducerii in dispozitivul compromis si pot intercepta apelurile sau mesajele: inclusiv mesaje trimise din aplicatii specifice precum Viber, WhatsApp si Skype, in plus fata de SMS-urile obisnuite.
Detectarea: Produsele Kaspersky Lab detecteaza instrumentele de spionaj RCS/DaVinci/Galileo precum: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.
