Nuova minaccia

Allarme per il nuovo spyware Android e iOS dell’italiana RCS Lab

Google rileva una massiccia campagna di diffusione spyware che garantisce l’accesso ai dispositivi mobili di ignari utenti. Dietro c’è la RCS Lab, una società italiana che vende servizi di sorveglianza alle forze dell’ordine. Il rischio è elevato sia per Android sia per iPhone

24 Giu 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Secondo il Threat Analysis Group (TAG) di Google, la società italiana RCS Lab, produttrice di sistemi di sorveglianza venduti alle forze dell’ordine, avrebbe collaborato con provider di servizi Internet per diffondere app dannose su dispositivi Android e iOS di vittime in Italia e Kazakistan.

Lo spyware RCS Lab oltre l’utilizzo lecito

I risultati della ricerca sono stati pubblicati direttamente sul blog ufficiale di Google in un post scritto dei ricercatori del TAG in collaborazione con Project Zero, sempre di Google.

Pegasus, lo spionaggio cyber continua: ecco perché servono nuove regole

Nel testo si afferma la volontà dell’azienda italiana RCS Lab, produttrice di spyware per le forze di polizia e la sorveglianza, di compromettere smartphone al fine di diffondere il proprio tool, oltre l’utilizzo per il quale verrebbe concepito ma verso vittime anche in Italia. In questa maniera RCS Lab riesce a fornire ai propri clienti l’accesso diretto ai dispositivi compromessi senza intervento alcuno da parte delle ignare vittime.

“Sebbene l’uso delle tecnologie di sorveglianza possa essere legale ai sensi delle leggi nazionali o internazionali, spesso vengono utilizzate dai governi per scopi antitetici ai valori democratici: prendere di mira dissidenti, giornalisti, operatori dei diritti umani e politici dei partiti di opposizione”, queste alcune delle preoccupazioni esposte dal team di ricerca di Google.

Il commercio di spyware è, infatti, una fiorente attività in forte espansione, utile e richiesta dai governi per entrare in possesso di armi altrimenti non raggiungibili con le proprie capacità interne.

La diffusione con metodi massivi come questo si identifica come un pubblico pericolo, proprio per gli eventuali utilizzi illeciti di questi software malevoli, che impatterebbero su un numero importante di cittadini colpiti.

Come funziona la compromissione adottata da RCS Lab

Tutto inizia con il convincimento della vittima ad aprire una pagina Web appositamente creata, falsa e che veicola lo strumento malevolo. Impersonando applicazioni di messaggistica note, come WhatsApp, tramite un messaggio di avviso si invita l’utenza presa di mira ad aprire questi collegamenti (immagine da Google TAG).

L’icona di WhatsApp veicola l’utente allo scaricamento di contenuti controllati dagli aggressori, sia per dispositivi Android che iOS. Mentre l’installazione di app extra Google Play Store (su Android) è un’attività più intuitiva, strada leggermente differente è da percorrere per installare un’app dannosa (quindi che non può entrare su App Store di Apple) su dispositivi iPhone.

Niente di impossibile ed è dimostrato proprio da questo esempio che utilizza le istruzioni (per farlo) diffuse da Apple stessa. È importante che l’app sia firmata con un certificato aziendale, che può essere acquistato per 299 dollari tramite il programma per sviluppatori Apple Enterprise. Questo programma consente a un’azienda idonea di ottenere il file “embedded.mobileprovision” e la chiave “ProvisionsAllDevices”. Una app firmata con il certificato dello sviluppatore incorporato in questo file “mobileprovision”, può essere distribuita su qualsiasi iPhone, aggirando il processo di revisione dell’App Store di Apple.

Il compito di distribuzione dello spyware, secondo quanto rilevato dal team Project Zero di Google, verrebbe ulteriormente facilitato grazie ad accordi di collaborazione che RCS Lab avrebbe portato avanti con Internet Service Provider, tramite i quali distribuirebbe le app malevole per compromettere i dispositivi. False app che emulano quelle proprie del gestore dei servizi di telefonia mobile.

Queste false app analizzate sfruttano ben 6 vulnerabilità, tra cui CVE-2018-4344 pubblicamente nota come LightSpeed, CVE-2019-8605 nota come SockPuppet, CVE-2020-3837 nota come TimeWaste, CVE-2020-9907, CVE-2021-30883 e CVE-2021-30983.

Non è ancora definito quali clienti di RCS Lab abbiano ricevuto questo tipo di servizio, risultando pertanto coinvolti in questa operazione, né chi e quali siano state le persone prese di mira da questa campagna spyware.

Hermit, la variante kazaka dello spyware di RCS Lab

Questa stessa tipologia di attività di distribuzione spyware, ora rivolta a cittadini italiani, la settimana scorsa è stata rilevata dalla società di sicurezza Lookout operante in Kazakistan ed è stata ricondotta, anche in questo caso a RCS Lab, oltre che a Tykelab SRL.

La stessa Lookout afferma che il medesimo malware adoperato in Kazakistan (denominato Hermit), potrebbe già aver iniziato la sua diffusione anche in Italia e in Siria, ricordando inoltre i precedenti legami tra RCS Lab e la nota azienda italiana produttrice di spyware HackingTeam.

Conclusioni

Dopo questo report, RCS Lab non ha ancora diffuso alcun comunicato in merito alla vicenda che la vede direttamente coinvolta, né ha risposto al momento alle richieste di Google.

Abbiamo contattato anche noi i responsabili dell’azienda e aggiorneremo di conseguenza l’articolo.

Rimane il grave problema operativo che sta dietro queste attività commerciali: la scoperta delle vulnerabilità. Tutto il lavoro è infatti basato sul funzionamento del software spyware sviluppato, funzionamento che sarà possibile solo sfruttando vulnerabilità non ancora note. Scoprire una vulnerabilità non nota e tenerla segreta, appunto per far funzionare il proprio spyware, è e sarà sempre un’attività molto pericolosa per tutta la Rete.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5