Inoltre, il venditore di spyware italiano avrebbe ricevuto aiuto da alcuni ISP per infettare i dispositivi degli utenti.
Secondo gli analisti di Google TAG, RCS Labs è solo uno dei 30 fornitori di spyware, ovvero i Public Sector Offensive Actor (PSOA).
Advertising
Questa società milanese afferma di essere operativa dal 1993 e da più di vent’anni fornisce
“alle forze dell’Ordine di tutto il mondo soluzioni tecnologiche all’avanguardia e supporto tecnico nel campo dell’intercettazione legale. Società indipendente con sede in Italia e filiali in Francia e Spagna, RCS è il principale fornitore europeo di servizi completi di intercettazione legale, con oltre 10.000 bersagli intercettati gestiti quotidianamente nella sola Europa”.
I ricercatori scrivono che durante gli attacchi drive-by, utilizzati per infettare i dispositivi di diverse vittime, agli utenti è stato chiesto di installare applicazioni dannose (comprese quelle mascherate da applicazioni legittime di operatori mobili), apparentemente per tornare online dopo che la connessione a Internet era stata interrotta. Interrotta da parte dei provider.
“Riteniamo che in alcuni casi gli aggressori abbiano collaborato con gli ISP della vittima per disabilitare la loro connessione dati mobile”, afferma il rapporto. “Dopo la disconnessione, l’attaccante ha inviato un collegamento dannoso tramite SMS con la richiesta di installare un’applicazione per ripristinare la connessione”.
Gli analisti scrivono che le applicazioni dannose distribuite sui dispositivi delle vittime non erano disponibili tramite l’Apple App Store o i Google Play Store. Tuttavia, gli aggressori hanno offerto malware per iOS (firmato con un certificato aziendale) e hanno chiesto alle vittime di consentire l’installazione di app da fonti sconosciute.
Advertising
L’app iOS vista in questi attacchi aveva sei exploit integrati che consentivano l’escalation dei privilegi su un dispositivo compromesso e il furto di file:
CVE-2021-30983 Il nome del bug interno di Google è Clicked3, corretto da Apple nel dicembre 2021.
“Tutti gli exploit sono apparsi prima del 2021 e si basavano su exploit disponibili pubblicamente scritti da varie comunità di jailbreak. Al momento della scoperta degli attacchi, solo la CVE-2021-30883 e la CVE-2021-30983 potevano essere ritenuti come exploit zero-day”
affermano gli esperti.
Per quanto riguarda l’app Android dannosa, è stata fornita senza exploit. Allo stesso tempo, il malware disponeva di funzionalità che consentivano di caricare ed eseguire moduli aggiuntivi utilizzando l’API DexClassLoader.
Google afferma di aver già informato i proprietari di dispositivi Android che i loro dispositivi sono stati compromessi e infettati da spyware. L’azienda ha inoltre disabilitato i progetti Firebase utilizzati dagli aggressori per configurare l’infrastruttura di gestione della campagna.
Hermit, è stato studiato in dettaglio dagli esperti della società di sicurezza Lookout, che la scorsa settimana ha pubblicato un rapporto sulle minacce. Secondo loro, Hermit è uno “spyware modulare” che
“abusa dei servizi di accessibilità, può registrare audio, effettuare e reindirizzare chiamate telefoniche, raccogliere e rubare dati come registri delle chiamate, contatti, foto, posizione del dispositivo e messaggi SMS”.
I ricercatori hanno notato che la modularità di Hermit ne consente la personalizzazione per ogni specifica vittima, ampliando o modificando la funzionalità dello spyware a seconda delle esigenze del cliente. Allo stesso tempo, purtroppo, non è stato possibile capire chi fosse il target della campagna rilevata, e quale dei clienti di RCS Lab fosse ad essa associato.
È interessante notare che, secondo Google TAG, sette delle nove vulnerabilità zero-day scoperte nel 2021 sono state sviluppate da fornitori di spyware e vulnerabilità commerciali e quindi vendute a terze parti e sfruttate da hacker governativi.
“Hermit è un altro esempio di arma digitale che viene utilizzata per attaccare i civili e i loro dispositivi mobili, e i dati raccolti dagli aggressori sono sicuramente inestimabili”
commentano gli esperti di Zimperium sui resoconti dei loro colleghi.
Google TAG esprime preoccupazione per il fatto che aziende come RCS Lab stiano “accumulando segretamente vulnerabilità zero-day”, il che pone seri rischi dato che numerosi fornitori di spyware sono stati compromessi nell’ultimo decennio.
Gli esperti temono che prima o poi le “riserve” di tali società “potrebbero essere rese pubbliche senza preavviso” e finire in mano ai criminali informatici e creare dei danni gravissimi.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"
Aree di competenza:Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.