Kaspersky Lab a publicat un raport care scoate la iveală o infrastructură internațională pentru administrarea implanturilor de malware Remote Control System (RCS) și identifică o serie de noi troieni, creați pentru a infecta dispozitive mobile – atât pe cele care au sisteme de operare Android cât și pe cele cu iOS. Aceste module fac parte din așa-numitul instrument «legal» de spyware, RCS, cunoscut sub numele de Galileo, dezvoltat de compania italiană HackingTeam.
Lista țintelor vizate include activiști și susținători ai drepturilor omului, precum și jurnaliști și politicieni, conform datelor din cea mai recentăcercetare efectuată de Kaspersky Lab împreună cu partenerul său Citizen Lab.
Infrastructura RCS
Kaspersky Lab a efectuat mai multe demersuri de localizare a serverelor globale de comandă și control (C&C) pentru Galileo. În procesul de identificare, specialiștii Kaspersky Lab au utilizat indicatori speciali și date de conectivitate obținute prin recompunerea unor mostre tehnice.
Rezultatele analizei Kaspersky Lab arată prezența a mai mult de 320 de servere decomanda si control pentruRCS în peste 40 de țări, inclusiv in Romania. Majoritatea serverelor sunt localizate pe teritoriul SUA, Kazakhstan, Ecuador, Marea Britanie și Canada.
«Prezența acestor servere într-o anumită țară nu indicăneaparatutilizarea lor de către autoritățile din acea țară», comentează Sergey Golovanov, Principal Security Researcher la Kaspersky Lab. «Totuși se poate întâmpla ca atacatorii să instaleze dispozitive de C&C în locurile pe care le controlează, acolo unde riscurile apariției unor probleme legale legate de granițe sau de blocare a serverelor sunt minime», concluzionează Sergey Golovanov, Principal Security Researcher la Kaspersky Lab.
Implanturile mobile RCS
Deși existența troienilor HackingTeam pentru sistemele de operare iOS și Android era deja cunoscutăin mod teoretic, nimeni nu îi identificase până acum și nici nu îi observase vreodată în timpul atacurilor. Experții Kaspersky Lab cercetează malware-ul RCS de mai bine de doi ani. La începutul acestui an, aceștia au identificat câteva mostre de programe pentru telefoanele mobile, care se potriveau cu alte configurări de malware RCS din colecția lor. Pe parcursul derulării cercetărilor, specialiștii au primit alte noi variante de modele de la victime ale atacurilor, prin intermediul rețelei de cloud Kaspersky Lab KSN. În plus, specialiștii companiei au lucrat cu Morgan Marquis-Boire de la Citizen Lab care a cercetat în detaliu malware-ul HackingTeam.
Vectori de infecție
Operatorii din spatele Galileo RCS construiesc implanturi dăunătoare pentru fiecare țintă concretă. Odată ce programul este finalizat, atacatorul o transmite la dispozitivul mobil al victimei. Printre vectorii de infecție cunoscuți se regăsesc: spearphishing prin intermediul inginerieisociale (cel mai adesea împreună cu atacuri, inclusiv cele de tip «zero-day») și infecții locale prin intermediul cablurilor USB, în timpul sincronizării dispozitivelor mobile cu computerele.
Una din descoperirile majore presupune acțiunea specifică de infectare a unui iPhone de către un troian Galileo: pentru ca acesta să se întâmple, este necesar ca dispozitivul să fie jailbroken. Totuși, și dispozitivele care nu sunt jailbroken pot deveni vulnerabile: un atacator poate rula un instrument precum ‘Evasi0n’ prin intermediul unui computer deja infectat și poate efectua un jailbreak de la distanță, urmat de o infectare. Pentru a evita riscurile, experții Kaspersky Lab le recomandă utilizatorilor să evite jailbreak-ul și să-și actualizeze frecvent sistemul de operare iOS.
Spionare personalizată
Modulele mobile RCS sunt construite pentru a opera într-o manieră discretă, acordând o mare atenție la bateria dispozitivului. Acest lucru este posibil prin acțiuni atente de spying sau prin mecanisme speciale de declanșare: de exemplu, o înregistrare audio poate începe doar când o victimă este conectată la o anumită rețea Wi-Fi (de exemplu rețeaua unei firme), când utilizatorul schimbă cartela SIM sau în timpul încărcării telefonului mobil.
În general, troienii RCS pentru dispozitivele mobile pot avea funcții de supraveghere, oferind date despre localizarea țintei, fotografii ale acesteia, pot copia evenimentele din calendar și înregistra noi cartele SIM în momentul introducerii în dispozitivul compromis și pot intercepta apelurile sau mesajele: inclusiv mesaje trimise din aplicații specifice precum Viber, WhatsApp și Skype, în plus față de SMS-urile obișnuite.
Detectarea
Produsele Kaspersky Lab detectează instrumentele de spionaj RCS/DaVinci/Galileo precum: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin,Trojan.Win32.Agent,Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir and Backdoor.AndroidOS.Criag.