Après le spyware Pegasus de l’entreprise israélienne NSO Group, voici l’affaire du spyware de RCS Lab. Sur son site, cette entreprise italienne indique opérer depuis 1993 pour » fournir des solutions technologiques et apporter un soutien technique aux agences d’application de la loi à travers le monde entier. «
En Italie et au Kazakhstan, Google a identifié des victimes des outils de hacking de RCS Lab. Des utilisateurs de smartphones Android et iOS ont été pris pour cible afin de télécharger et installer une application malveillante. Pour les espionner ou exfiltrer des documents.
Via des attaques de type drive-by downloads et avec un lien envoyé aux cibles, Google explique que des applications piégées ont pris l’apparence d’applications de messagerie pour soi-disant récupérer un compte Facebook, Instagram ou WhatsApp suspendu.
Un site contrôlé par les attaquants
Avec la collaboration de FAI…
Dans certains cas, les attaquants auraient tout bonnement agi avec la complicité de fournisseurs d’accès à Internet. Ce qui laisse le cas échéant peu de doute sur le rôle de certains gouvernements.
Suite à une désactivation de la connectivité des données mobiles, un lien malveillant par SMS a aiguillé vers l’installation d’une application pour la rétablir. » Nous pensons que c’est la raison pour laquelle la plupart des applications (ndlr : malveillantes) se font passer pour des applications d’opérateurs mobiles. «
Les applications malveillantes n’étaient pas disponibles dans le Google Play Store ou l’App Store. Cela implique d’autoriser l’installation d’applications provenant de sources inconnues et des exploits de jailbreak. Google souligne par ailleurs la procédure décrite par Apple afin de distribuer des applications propriétaires en interne sur les appareils.
Avant la publication du rapport de Google, Lookout avait déjà évoqué la découverte d’un spyware Android déployé au Kazakhstan et probablement développé par RCS Lab et Tykelab. Le nom de Hermit lui a été donné.
Google précise avoir prévenu les utilisateurs d’appareils Android infectés et avoir mis en œuvre des modifications dans Google Play Protect pour la protection de tous les utilisateurs. À Reuters, un porte-parole d’Apple a déclaré que tous les comptes et certificats connus associés à la campagne de piratage ont été révoqués.