A l’audience ce La semaine dernière, le tristement célèbre groupe de fournisseurs de logiciels espions NSO a déclaré aux législateurs européens qu’au moins cinq pays de l’UE avaient utilisé son puissant logiciel malveillant de surveillance Pegasus. Mais alors que la réalité de la façon dont les produits de NSO ont été abusés dans le monde est de plus en plus mise en lumière, les chercheurs s’efforcent également de faire prendre conscience que l’industrie de la surveillance de la location va bien au-delà d’une entreprise. Jeudi, le groupe d’analyse des menaces de Google et l’équipe d’analyse des vulnérabilités du projet Zero ont publié des résultats sur la version iOS d’un logiciel espion attribué au développeur italien RCS Labs.
Les chercheurs de Google affirment avoir détecté des victimes de logiciels espions en Italie et au Kazakhstan sur les appareils Android et iOS. La semaine dernière, la société de sécurité Lookout a publié des résultats sur la version Android du logiciel espion, qu’elle appelle « Hermit » et qu’elle attribue également à RCS Labs. Lookout note que des responsables italiens ont utilisé une version du logiciel espion lors d’une enquête anti-corruption en 2019. Outre les victimes situées en Italie et au Kazakhstan, Lookout a également trouvé des données indiquant qu’une entité non identifiée a utilisé le logiciel espion pour cibler le nord-est de la Syrie.
« Google a suivi les activités des fournisseurs de logiciels espions commerciaux pendant des années, et pendant cette période, nous avons vu l’industrie passer rapidement de quelques fournisseurs à un écosystème entier », a déclaré à WIRED l’ingénieur en sécurité TAG Clément Lecigne. « Ces fournisseurs permettent la prolifération d’outils de piratage dangereux, armant les gouvernements qui ne seraient pas en mesure de développer ces capacités en interne. Mais il y a peu ou pas de transparence dans cette industrie, c’est pourquoi le partage d’informations sur ces fournisseurs et leurs capacités est essentiel. »
TAG indique qu’il suit actuellement plus de 30 fabricants de logiciels espions offrant une gamme de capacités techniques et des niveaux de sophistication aux clients soutenus par le gouvernement.
Dans leur analyse de la version iOS, les chercheurs de Google ont découvert que les attaquants avaient distribué le logiciel espion iOS à l’aide d’une fausse application censée ressembler à l’application My Vodafone du célèbre opérateur mobile international. Dans les attaques Android et iOS, les attaquants peuvent avoir simplement amené les cibles à télécharger ce qui semblait être une application de messagerie en distribuant un lien malveillant sur lequel les victimes pouvaient cliquer. Mais dans certains cas particulièrement dramatiques de ciblage iOS, Google a constaté que les attaquants pouvaient s’être associés à des FAI locaux pour interrompre la connexion de données mobiles d’un utilisateur spécifique, lui envoyer un lien de téléchargement malveillant par SMS et le persuader d’installer le faux. via Wi-Fi avec la promesse que cela rétablirait leur service cellulaire.
Les attaquants ont pu distribuer l’application malveillante parce que RCS Labs s’était enregistré auprès du programme de développement d’entreprise d’Apple, apparemment via une société écran appelée 3-1 Mobile SRL, pour obtenir un certificat qui leur permettrait d’exécuter les applications de chargement latéral sans passer par le typique Processus de révision de l’AppStore d’Apple.
Apple indique à WIRED que tous les comptes et certificats connus associés à la campagne de logiciels espions ont été révoqués.
« Les certificats d’entreprise sont destinés à un usage interne par une entreprise uniquement et ne sont pas destinés à la distribution générale d’applications, car ils peuvent être utilisés pour contourner les protections de l’App Store et d’iOS », a écrit la société dans un rapport d’octobre sur le sideloading. « Malgré les contrôles rigoureux et la portée limitée du programme, les attaquants ont trouvé des moyens non autorisés d’y accéder, par exemple en achetant des certificats d’entreprise sur le marché noir. »
#Google #met #garde #contre #nouveaux #logiciels #espions #ciblant #les #utilisateurs #iOS #Android
