La poco conocida empresa italiana de software espía, RCS Labs, trabajó con proveedores de servicios de Internet no identificados, para instalar aplicaciones maliciosas en los teléfonos de los objetivos en Italia y Kazajistán, aseguraron, investigadores del Grupo de Análisis de Amenazas de Google.
En algunos casos, en los que la participación de los proveedores de servicios de Internet no era posible, los investigadores de Google dijeron que la empresa enviaba mensajes de advertencia falsos a los objetivos diciéndoles que hicieran clic en un enlace para restaurar el acceso a una popular aplicación de mensajería. El enlace instalaba entonces una versión maliciosa de la aplicación, dando a los clientes de la empresa acceso al dispositivo.
Ian Beer, investigador del Proyecto Zero de Google, que estudia las vulnerabilidades de hardware y software no reveladas previamente, publicó un análisis detallado de la vulnerabilidad de iOS, ya corregida, que la empresa utilizó en su aplicación de proveedor de telefonía móvil falsa. La explotación de la corrupción de la memoria en el trabajo es similar al exploit FORCEDENTRY zero-click expuesto a finales del año pasado y desarrollado por el Grupo NSO de Israel, escribió Beer.
“Ambos revelan la impresionante profundidad de la superficie de ataque disponible para el hacker motivado”, escribió Beer. “Y ambos demuestran que la investigación en seguridad defensiva aún tiene mucho trabajo por hacer”.
NSO Group y otra empresa israelí, Candiru, fueron incluidas en la lista de entidades del gobierno de Estados Unidos en noviembre por la preocupación que sus programas espía estaban utilizando para atacar maliciosamente a trabajadores de la sociedad civil, periodistas y activistas.
Según los investigadores de Google, la campaña se dirigía tanto a dispositivos iOS como Android. No está claro quién era el objetivo de la campaña, ni qué clientes de RCS Labs estaban implicados. La semana pasada, la empresa de ciberseguridad Lookout publicó una investigación en la que se exponía la actividad de spyware en Kazajstán dirigida a dispositivos Android con un malware que denominó “Hermit”. Lookout atribuyó el malware a RCS Labs y a Tykelab Srl, “una empresa de telecomunicaciones que sospechamos que opera como empresa de fachada”.
Lookout alegó además que Hermit fue desplegado por una entidad del gobierno nacional de Kazajistán. Hermit también puede haber sido desplegado en Siria e Italia, dijo la compañía, añadiendo que RCS Labs tiene conexiones en el pasado con el proveedor de software espía italiano HackingTeam, y que hay indicios de que la compañía había trabajado en el pasado con los gobiernos de Pakistán, Chile, Mongolia, Bangladesh, Vietnam, Myanmar y Turkmenistán.
En su página web, la empresa afirma que lleva más de veinte años “proporcionando a las fuerzas del orden de todo el mundo soluciones tecnológicas de vanguardia y apoyo técnico en el ámbito de la interceptación legal.” La empresa afirma ser “el principal proveedor europeo de servicios completos de interceptación legal, con más de 10.000 objetivos interceptados manejados diariamente sólo en Europa”.
Investigadores de Google señalaron que, aunque “el uso de las tecnologías de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo los gobiernos las utilizan con fines contrarios a los valores democráticos: apuntando a disidentes, periodistas, trabajadores de derechos humanos y políticos de partidos de la oposición”.
El Grupo de Análisis de Amenazas de Google está “rastreando activamente a más de 30 proveedores con diferentes niveles de sofisticación y exposición pública que venden exploits o capacidades de vigilancia a actores respaldados por el gobierno”, escribieron los expertos.
Los investigadores concluyeron que “la industria del software espía comercial está prosperando y creciendo a un ritmo significativo”, calificándolo como una “tendencia que debería preocupar a todos los usuarios de Internet”.