У світі виявили новий шпигунський продукт для iOS, пов’язаний з італійським розробником RCS Labs. Дані про шкідливе ПЗ у четвер 23 червня опублікувала група аналізу загроз Google та команда Project Zero з аналізу вразливостей. 

Дослідники Google говорять, що виявили жертв програми-шпигуна в Італії та Казахстані, на пристроях як з iOS, так і з Android. Минулого тижня компанія з кібербезпеки Lookout опублікувала дані про Android-версію програми, яку назвали «Hermit» і яка також належить RCS Labs. 

Під час аналізу iOS-версії шпигуна дослідники виявили, що він поширювався за допомогою фейкового додатка, який нагадував My Vodafone від міжнародного мобільного оператора. У випадках як з Android, так і з iOS зловмисники, імовірно, обманом змусили жертви натиснути на посилання і завантажити програму. В деяких випадках з iOS вони могли працювати з місцевими провайдерами, щоб обірвати мобільний зв’язок і переконати, що встановлення фейкового додатка My Vodafone може його відновити. 

iOS став особливо вразливим через те, що RCS Labs зареєструвалися у програмі Apple Enterprise Developer Program через фіктивну компанію та отримали сертифікат, який дозволяв їм завантажувати програми в обхід типової перевірки AppStore. У Apple заявили, що вже відкликали усі відомі акаунти й сертифікати, пов’язані зі шпигунським ПЗ. 

«Google відстежує використання комерційних програм-шпигунів роками, і за цей час ми побачили, як галузь швидко розширилась від кількох постачальників до цілої екосистеми. Ці постачальники уможливлюють поширення небезпечних хакерських інструментів, озброюючи уряди, які не можуть розробити їх у себе. Однак у цій галузі мало прозорості, ось чому дуже важливо ділитися інформацією про таких постачальників і їх можливості», – говорить інженер з безпеки у інтерв’ю Wired.

Lookout зауважує, що італійські посадовці використовували версію програми ще у 2019 році під час антикорупційного розслідування. Окрім Італії та Казахстану, компанія знайшла сліди використання програми невідомою організацією в Сирії.