Alguns usuários europeus do iOS e do Android tiveram seus dispositivos atingidos por um Spyware, de acordo com o Google. Segundo a empresa, esses usuários teriam sido induzidos a instalar um aplicativo malicioso que roubaria informações pessoais do dispositivo.
O Google nomeou a empresa italiana RCS Labs como a provável parte responsável pelos ataques. O Google alega que o RCS Labs usou “uma combinação de táticas” para atingir usuários na Itália e no Cazaquistão com o que é considerado um “ataque de download drive-by”.
Uma mensagem alegaria que a vítima perdeu o acesso à sua conta ou serviços e precisará fazer login por meio do link fornecido para restaurar o serviço. Os links de instalação enviados pelos atores nefastos estavam se passando por provedores de serviços de Internet ou notificações de aplicativos de mensagens.
Ataque do Spyware no iOS e no Android
Uma vez que a vítima se conectou ao site vinculado, foram mostrados logotipos reais e solicitações realistas para redefinição de conta, com o link para baixar o aplicativo malicioso oculto atrás de botões e ícones de aparência oficial. Por exemplo, uma das muitas variantes do aplicativo usado na campanha instalada tinha um logotipo da Samsung como ícone e apontaria para um site falso da Samsung.
A versão Android do ataque usou um arquivo .apk. Como os aplicativos Android podem ser instalados livremente de fora da loja Google Play, não havia necessidade de os atores convencerem as vítimas a instalar um certificado especial.
As vítimas com dispositivos Android tiveram muitas permissões concedidas aos invasores, como acesso a status de rede, credenciais de usuário, detalhes de contato, leitura de dispositivos de armazenamento externos fornecidos. Já as vítimas que usavam o iOS foram instruídas a instalar um certificado corporativo. Se o usuário seguiu o processo, o certificado assinado corretamente permitiu que o aplicativo malicioso contornasse as proteções da App Store após o sideload.
A versão iOS do aplicativo malicioso usou seis explorações de sistema diferentes para extrair informações do dispositivo, com o aplicativo dividido em várias partes, cada uma usando uma exploração específica. Quatro dessas explorações foram escritas pela comunidade de jailbreak para contornar a camada de verificação e desbloquear o acesso root completo ao sistema.
Devido ao sandboxing do iOS, a quantidade de dados extraídos foi limitada em escopo. Enquanto dados como o banco de dados local do aplicativo de mensagens WhatsApp foram obtidos das vítimas, o sandboxing impediu que o aplicativo fizesse interface direta e roubasse informações de outros aplicativos diretamente.
Correções
O Google emitiu avisos para as vítimas do Android desta campanha. A empresa também fez alterações no Google Play Protect, além de desativar alguns projetos do Firebase usados pelos invasores.
A Apple corrigiu os exploits. Correções para toda a cadeia de exploração chegaram com o iOS 15.2.
