A Kaspersky Lab egy új kutatási jelentést tett közzé, amely felfedi a Remote Control System (RCS, távoli vezérlő rendszer) malware implantátumok irányítására használt nagyméretű nemzetközi infrastruktúra földrajzi elhelyezkedését, és eddig nem ismert trójaiakat azonosít, amelyek mind az Androidon, mind az iOS-en működnek. Ezek a modulok az RCS, más néven Galileo "legális" kémkedési eszköz részét képezik, amelyeket a HackingTeam nevű olasz cég fejlesztett ki
RCS infrastruktúra
A Kaspersky Lab különféle biztonsági megközelítéseket használt a Galileo világszerte megtalálható parancs és vezérlő (C&C) szervereinek a lokalizálására. Az azonosítási folyamathoz a Kaspersky Lab szakértői a meglévő minták visszafejtésével nyert speciális indikátorokat és kapcsolódási adatokat vették igénybe.
A legfrissebb elemzés során a Kaspersky Lab kutatói több mint 40 országban 320 RCS C&C szervert azonosítottak. A szerverek többsége az Egyesült Államokban, Kazahsztánban, Ecuadorban, az Egyesült Királyságban és Kanadában található.
Sergey Golovanov, a Kaspersky Lab vezető biztonsági kutatója a legújabb felfedezésekkel kapcsolatban elmondta: "Ezeknek a szervereknek a létezése egy adott országban nem jelenti szükségszerűen azt, hogy ennek az országnak a bűnüldöző szervei használják őket. Ugyanakkor az RCS-t használók számára igenis van értelme annak, hogy a C&C szervereket olyan helyekre telepítsék, amelyeket ellenőrzésük alatt tartanak, ahol minimális a kockázata a határokon túlmutató jogi problémáknak, vagy a szerverek lefoglalásának.
RCS mobil implantátumok
Bár a múltban is ismert volt, hogy léteznek a HackingTeam által készített mobil trójaiak az Androidhoz és az iOS-hez, eddig még senki sem azonosította őket, illetve észlelte, hogy felhasználják őket támadásokban. A Kaspersky Lab szakértői pár éve vizsgálják már az RCS malware-t. Az év elején képesek voltak azonosítani a mobil modulok bizonyos mintáit, amelyek megegyeztek a gyűjteményükben lévő más RCS malware konfigurációs profilokkal. A legutóbbi kutatás során a minták új változatait is megkapták az áldozatoktól a Kaspersky Lab felhő alapú KSN hálózatán keresztül. Ezen túlmenően a vállalat szakemberei szorosan együttműködtek Morgan Marquis-Boire-ral a Citizen Lab-től, aki alapos vizsgálatnak vetette alá a HackingTeam malware készletét.
Fertőzési módszerek
A Galilelo RCS üzemeltetői egy speciális rosszindulatú implantátumot készítenek minden egyes konkrét célponthoz. Mihelyt a minta elkészült, a támadó eljuttatja azt az áldozat mobil eszközére. Az ismert fertőzési módszerek között megtalálható a célzott adathalászat pszichológiai manipuláció útján – amelyhez gyakran társulnak kihasználó kódok, nulladik napi sérülékenységekhez tartozók is –, valamint a helyi fertőzés USB kábelen keresztül, amikor a mobil eszközt szinkronizálják.
Az egyik legnagyobb felfedezés annak pontos kiderítése volt, hogy egy Galileo mobil trójai miképpen fertőz meg egy iPhone-t, amihez előbb a mobilt jailbreakelni kell. Ugyanakkor a nem jailbreakelt iPhone-ok is sebezhetővé válhatnak: a támadó egy korábban megfertőzött számítógépen keresztül futtathat egy jailbreakelő eszközt, például az Evasi0n-t, és lebonyolíthat egy távolról végrehajtott jailbreakelést, amelyet aztán követ a trójaival való megfertőzés. A fertőzési kockázatok elkerülésére a Kaspersky Lab szakértői azt javasolják, hogy először is ne jailbreakeljük az iPhone-unkat, másodszor pedig állandóan frissítsük az iOS-t a legújabb változatra.
Minden részletre ügyelő kémkedés
Az RCS mobil modulokat aprólékos módon úgy tervezték, hogy diszkréten működjenek, így például odafigyelnek a mobil eszköz akkujának állapotára. Ezt gondosan kialakított kémkedési funkciókkal, vagy speciális indítási feltételek megadásával valósítják meg: például egy hangfelvétel csak akkor indul el, ha az áldozat egy adott WiFi hálózathoz (például egy kiadóvállalat hálózatához) csatlakozik, vagy ha a tulajdonos SIM kártyát cserél, vagy amikor az eszköz akkuját töltik.
Az RCS mobil trójaiak sokféle megfigyelési funkciót képesek végrehajtani, többek között jelentik a célszemély földrajzi helyét, fotókat készítenek, eseményeket másolnak ki a kalendáriumból, regisztrálják a fertőzött telefonba helyezett új SIM kártyát, valamint lehallgatják a beszélgetéseket és az üzeneteket. Az utóbbiak közé a hagyományos SMS-ek mellett beletartoznak a speciális alkalmazások, például a Viber, a WhatsApp és a Skype által küldött üzenetek is.
Észlelés
A Kaspersky Lab termékei az RCS/DaVinci/Galileo kémeszközöket a következő nevekkel azonosítják: Backdoor.Win32.Korablin, Backdoor.Win64.Korablin, Backdoor.Multi.Korablin, Rootkit.Win32.Korablin, Rootkit.Win64.Korablin, Rootkit.OSX.Morcut, Trojan.OSX.Morcut, Trojan.Multi.Korablin, Trojan.Win32.Agent, Trojan-Dropper.Win32.Korablin, Trojan-PSW.Win32.Agent, Trojan-Spy.AndroidOS.Mekir és Backdoor.AndroidOS.Criag.