En audiencias este semana, el notorio grupo NSO, proveedor de spyware, dijo a los legisladores europeos que al menos cinco países de la UE han utilizado su poderoso malware de vigilancia Pegasus. Pero a medida que sale a la luz cada vez más sobre la realidad de cómo se ha abusado de los productos de NSO en todo el mundo, los investigadores también están trabajando para crear conciencia de que la industria de la vigilancia por contrato va mucho más allá de una sola empresa. El jueves, el grupo de análisis de amenazas de Google y el equipo de análisis de vulnerabilidades Project Zero publicaron hallazgos sobre la versión iOS de un producto de spyware atribuido al desarrollador italiano RCS Labs.
Los investigadores de Google dicen que detectaron víctimas del software espía en Italia y Kazajstán en dispositivos Android e iOS. La semana pasada, la firma de seguridad Lookout publicó hallazgos sobre la versión para Android del software espía, al que llama «Ermitaño» y también atribuye a RCS Labs. Lookout señala que los funcionarios italianos utilizaron una versión del software espía durante una investigación anticorrupción de 2019. Además de las víctimas ubicadas en Italia y Kazajstán, Lookout también encontró datos que indican que una entidad no identificada usó el software espía para atacar en el noreste de Siria.
“Google ha estado rastreando las actividades de los proveedores comerciales de spyware durante años, y en ese tiempo hemos visto cómo la industria se expandía rápidamente de unos pocos proveedores a un ecosistema completo”, dijo a WIRED el ingeniero de seguridad de TAG, Clement Lecigne. “Estos proveedores están permitiendo la proliferación de herramientas de piratería peligrosas, armando a los gobiernos que no podrían desarrollar estas capacidades internamente. Pero hay poca o ninguna transparencia en esta industria, por eso es fundamental compartir información sobre estos proveedores y sus capacidades”.
TAG dice que actualmente rastrea a más de 30 fabricantes de spyware que ofrecen una variedad de capacidades técnicas y niveles de sofisticación a clientes respaldados por el gobierno.
En su análisis de la versión de iOS, los investigadores de Google descubrieron que los atacantes distribuyeron el spyware de iOS usando una aplicación falsa que se parecía a la aplicación My Vodafone del popular operador internacional de telefonía móvil. Tanto en los ataques de Android como de iOS, los atacantes pueden simplemente haber engañado a los objetivos para que descarguen lo que parecía ser una aplicación de mensajería mediante la distribución de un enlace malicioso para que las víctimas hicieran clic. Pero en algunos casos particularmente dramáticos de ataques a iOS, Google descubrió que los atacantes podrían haber estado trabajando con los ISP locales para cortar la conexión de datos móviles de un usuario específico, enviarles un enlace de descarga malicioso por SMS y convencerlos de que instalen la aplicación My Vodafone falsa. a través de Wi-Fi con la promesa de que esto restauraría su servicio celular.
Los atacantes pudieron distribuir la aplicación maliciosa porque RCS Labs se había registrado en el Programa de Desarrolladores Empresariales de Apple, aparentemente a través de una empresa fantasma llamada 3-1 Mobile SRL, para obtener un certificado que les permitiera descargar aplicaciones sin pasar por el proceso de revisión típico de la AppStore de Apple.
Apple le dice a WIRED que todas las cuentas y certificados conocidos asociados con la campaña de spyware han sido revocados.
“Los certificados empresariales están destinados solo para uso interno de una empresa, y no están destinados a la distribución general de aplicaciones, ya que pueden usarse para eludir las protecciones de App Store e iOS”, escribió la compañía en un informe de octubre sobre la carga lateral. “A pesar de los estrictos controles y la escala limitada del programa, los malos actores han encontrado formas no autorizadas de acceder a él, por ejemplo, comprando certificados empresariales en el mercado negro”.