Iako je ranije bilo poznato da HackingTeam-ovi trojanci za mobilne telefone sa iOS i Android sistemima postoje, niko ih do sada nije ni identifikovao ili primetio da se koriste u napadima. Kaspersky Lab eksperti istražuju RCS malver već nekoliko godina. Ranije ove godine uspeli su da identifikuju određene uzorke mobilnih modula koji su odgovarali ostalim RCS malver konfiguracijskim profilima u njihovoj kolekciji.

Kaspersky Lab danas je objavio novo istraživanje, koje mapira široku internacionalnu infrastrukturu koja je kontrolisala Remote Control System (RCS) malver implante, prethodno identifikujući neotkrivene trojance koji rade na Android i iOS sistemima. Ovi moduli su deo takozvanog legalnog špijunskog alata, RCS poznatijeg kao Galileo, kojeg je razvila italijanska kompanija HackingTeam.

Spisak žrtava navedenih u novom istraživanju uključuje aktiviste i zagovornike ljudskih prava, kao i novinare i političare. Kaspersky Lab je radio na različitim bezbednosnim pristupima kako bi locirao Galileove komandne i kontrolne servere širom planete. Tokom indentifikacionog procesa stručnjaci su se oslonili na posebne indikatore i podatke o povezivanju dobijene „reverse engineering” postupkom.

Tokom poslednje analize, istraživači Kaspersky Lab-a su uspeli da mapiraju prisustvo više od 320 RCS C&C servera u više od 40 zemalja. Većina servera ima sedište u SAD, Kazahstanu, Ekvadoru, Ujedinjenom Kraljevstvu i Kanadi.

– Prisustvo ovih servera u datim zemljama ne znači da ih koriste zvanična tela te zemlje. Međutim, ima smisla za korisnike RCS da rasporede C&C na lokacijama koje kontrolišu, gde postoje minimalni rizici od prekograničnih pravnih pitanja ili serverskih napada – izjavio je Sergej Golovanov, glavni istraživač bezbednosti u Kaspersky Lab-u.

Iako je ranije bilo poznato da HackingTeam-ovi trojanci za mobilne telefone sa iOS i Android sistemima postoje, niko ih do sada nije i identifikovao ili primetio da se koriste u napadima. Kaspersky Lab eksperti istražuju RCS malver već nekoliko godina. Ranije ove godine uspeli su da identifikuju određene uzorke mobilnih modula koji su odgovarali ostalim RCS malver konfiguracijskim profilima u njihovoj kolekciji.

Operateri koji stoje iza Galileo RCS napravili su poseban zlonameran implant za svaku konkretnu metu. Kada je uzorak spreman, napadač ih isporučuje na mobilni uređaj žrtve. Neki od poznatih vektora infekcije uključuju „spirfišing” preko socijalnog inženjeringa, često u kombinaciji sa lokalnim infekcijama preko USB kablova tokom sinhronizacije mobilnih uređaja sa računarima.

Jedno od velikih otkrića bilo je tačno utvrđivanje kako Galileo trojanac za mobilne inficira iPhone. Utvrđeno je da kako bi to uradio, uređaj mora biti „džeilbrejkovan”. Međutim, zaključani iPhone-i takođe mogu postati ranjivi. Napadač može da pokrene alat za džeilbrejkovanje poput „Evasi0n” na prethodno inficiranom kompjuteru i da sprovede džejlbrejk na daljinu praćen bajt infekcijom.

Kako bi se izbegli rizici od infekcije, Kaspersky Lab stručnjaci preporučuju da pre svega ne džejlbrejkujete svoj iPhone, a drugo da redovno ažurirate najnoviju verziju iOS-a na vašem uređaju.

RCS mobilini moduli pedantno su dizajnirani da rade na diskretan način, na primer vodeći računa o trajanju baterije mobilnog uređaja. Ovo je omogućeno kroz pažljivo prilagođene špijunske mogućnosti ili posebne okidače. Na primer, audio snimanje može početi samo kada je žrtva konektovana na posebnu Wi Fi mrežu (na primer, mrežu medijske kuće) ili kada on/ona promene SIM karticu, ili dok se uređaj puni.

U principu, RCS trojanci za mobilne su sposobni da obavljaju različite funkcije nadzora, uključujući i izveštavanje o lokaciji mete, fotografisanje, kopiranje događaja iz kalendara, registraciju novih SIM kartica ubačenih u inficirani uređaj, presretanje telefonskih poziva i poruka, uključujući i poruke poslate preko posebnih aplikacija kao što su Viber,WhatsApp i Skype, pored regularnih SMS poruka.