Google warns of new SPYWARE used to hack smartphones

By Jacky On Jun 24, 2022

Google heeft gewaarschuwd voor spyware die door buitenlandse regeringen wordt gebruikt om Apple- en Android-telefoons te hacken en mee te snuffelen in de activiteiten van gebruikers.

De gewraakte ‘spyware’ – software die informatie van een apparaat steelt – is gemaakt door het in Milaan gevestigde bedrijf RCS Lab, hebben Google en beveiligingsbedrijf Lookout onthuld.

Spyware van RCS Lab zou door de Italiaanse en Kazachstaanse regeringen zijn gebruikt om privéberichten en contacten op de smartphones van hun burgers te bespioneren.

De spyware is echter mogelijk ook in staat om de browser, camera, adresboek, klembord en chat-apps van een slachtoffer te bespioneren.

RCS Lab is een voorbeeld van een ‘wettig onderschepping’-bedrijf dat beweert alleen te verkopen aan klanten met legitiem gebruik voor surveillance, zoals inlichtingen- en wetshandhavingsinstanties.

Maar in werkelijkheid zijn dergelijke instrumenten vaak misbruikt onder het mom van de nationale veiligheid om bedrijfsleiders, mensenrechtenactivisten, journalisten, academici en overheidsfunctionarissen te bespioneren, zeggen veiligheidsexperts.

Spyware is een specifiek type malware dat informatie steelt van een computer en deze naar een derde partij stuurt, zonder medeweten van de persoon (bestandsfoto)

Men denkt dat de spyware van RCS Lab, bijgenaamd ‘Hermit’, wordt verspreid via sms-berichten die van legitieme bronnen lijken te komen.

SPYWARE EN MALWARE

Spyware is een specifiek type malware dat informatie van een computer steelt en zonder medeweten van de persoon naar een derde partij verzendt.

Spyware verzamelt uw persoonlijke gegevens en geeft deze door aan adverteerders, gegevensfirma’s of externe gebruikers.

Ondertussen is malware een verzamelnaam voor elk type kwaadaardige software, ongeacht hoe het werkt, de bedoeling ervan of hoe het wordt verspreid.

De term omvat adware, spyware, virussen, trojans en meer.

Bron: Norton Security

Het bedriegt gebruikers door het aanbieden van wat lijkt op legitieme webpagina’s van spraakmakende merken, omdat het kwaadaardige activiteiten op de achtergrond start.

In sommige gevallen kregen burgers sms-berichten met het verzoek een applicatie te installeren om hun trage mobiele verbinding te herstellen, terwijl ze in feite de spyware installeerden.

In deze gevallen slaagden aanvallers erin om de internetserviceprovider (ISP) van het slachtoffer ertoe te brengen hun connectiviteit te vertragen, zei Google, om het een legitiem bericht te laten lijken.

In andere gevallen kregen burgers links naar een webpagina die zich voordeed als een spraakmakend technologiebedrijf, zoals Facebook.

Als voorbeeld plaatste Google een screenshot van een van de door de aanvallers gecontroleerde sites, www.fb-techsupport.com, bedoeld om het ondersteuningsteam van Facebook na te bootsen (de webpagina bestaat niet meer).

In het Italiaans vertelde het de slachtoffers dat hun account was opgeschort en dat ze een applicatie moesten downloaden om het account te herstellen.

Google zei dat het maatregelen had genomen om gebruikers van zijn Android-besturingssysteem te beschermen en hen te waarschuwen voor de spyware.

Apple en de regeringen van Italië en Kazachstan hebben niet onmiddellijk gereageerd op verzoeken om commentaar.

Screenshot gepost door Google, wat zich vanuit het Italiaans vertaalt als: ‘Reset account opgeschort. Download en installeer, volgens de instructies op het scherm, de applicatie voor het verifiëren en herstellen van uw opgeschorte account. Aan het einde van de procedure ontvangt u een ontgrendelingsbevestigings-sms’

Google zei dat de commerciële spyware-industrie ‘floreert’ en ‘aan een aanzienlijk tempo groeit’ – een trend die ‘alle internetgebruikers zou moeten aangaan’.

HOE IS DE SPYWARE GENSTALLEERD?

In sommige gevallen zei Google dat het geloofde dat hackers die RCS-spyware gebruikten, samenwerkten met de internetprovider (ISP) van het doelwit.

Deze methode is ontstaan met een unieke link die naar het doel is gestuurd.

Nadat erop werd geklikt, probeerde de pagina de gebruiker ertoe te brengen een schadelijke toepassing op Android of iOS te downloaden en te installeren.

In sommige gevallen werkten actoren waarschijnlijk samen met de ISP van het doelwit om de mobiele dataverbinding van het doelwit uit te schakelen.

Eenmaal uitgeschakeld, zou de aanvaller een kwaadaardige link via sms sturen om het doelwit te vragen een applicatie te installeren om de gegevensverbinding te herstellen.

Dit is de reden waarom de meeste applicaties zich voordoen als applicaties van mobiele providers.

Toen ISP-betrokkenheid niet mogelijk was, worden applicaties vermomd als berichtenapplicaties.

“Deze leveranciers maken de verspreiding van gevaarlijke hacktools mogelijk en bewapenen regeringen die deze mogelijkheden niet intern zouden kunnen ontwikkelen”, zeiden Benoit Sevens en Clement Lecigne van de Threat Analysis Group van Google in een verklaring. blogpost.

‘Hoewel het gebruik van bewakingstechnologieën legaal kan zijn volgens nationale of internationale wetten, blijken ze vaak door regeringen te worden gebruikt voor doeleinden die in strijd zijn met democratische waarden – gericht op dissidenten, journalisten, mensenrechtenwerkers en politici van oppositiepartijen.’

Op zijn website claimt RCS Lab Europese wetshandhavingsinstanties als enkele van zijn klanten en beschrijft het zichzelf als een maker van ‘legale interceptie’-technologieën en -diensten, waaronder spraak, gegevensverzameling en ‘volgsystemen’.

Het zegt alleen al in Europa dagelijks 10.000 onderschepte doelen te behandelen.

In reactie op de bevindingen van Google zei RCS Lab dat zijn producten en diensten voldoen aan de Europese regels en wetshandhavingsinstanties helpen bij het onderzoeken van misdaden.

‘Het personeel van RCS Lab wordt niet blootgesteld aan en neemt niet deel aan activiteiten die worden uitgevoerd door de relevante klanten’, vertelde het aan Reuters, eraan toevoegend dat het elk misbruik van zijn producten veroordeelde.

Google publiceerde zijn blogpost op donderdag, een paar weken nadat het in San Francisco gevestigde Lookout gedetailleerd was zijn eigen bevindingen.

Volgens Lookout is de RCS Lab-spyware door de regering van Kazachstan binnen haar grenzen gebruikt en in 2019 door de Italiaanse autoriteiten gebruikt in een anticorruptieoperatie.

‘We hebben ook bewijs gevonden dat suggereert dat een onbekende actor het heeft gebruikt in het noordoosten van Syrië, een overwegend Koerdische regio die het toneel is geweest van talloze regionale conflicten’, zei Lookout.

Google ontdekte ook dat RCS Lab eerder had samengewerkt met het controversiële, ter ziele gegane Italiaanse spionagebedrijf Hacking Team, dat op dezelfde manier bewakingssoftware had gemaakt voor buitenlandse regeringen om telefoons en computers af te tappen.

Hacking Team ging failliet nadat het in 2015 het slachtoffer werd van een grote hack die leidde tot de onthulling van tal van interne documenten.

De nieuwe bevindingen over RCS Lab komen op het moment dat Europese en Amerikaanse regelgevers potentiële nieuwe regels afwegen over de verkoop en import van spyware.

De wereldwijde industrie die spyware voor overheden maakt, groeit, en steeds meer bedrijven ontwikkelen onderscheppingstools voor wetshandhavingsorganisaties.

Anti-surveillance-activisten beschuldigen hen ervan regeringen te helpen die in sommige gevallen dergelijke instrumenten gebruiken om de mensenrechten en burgerrechten aan te pakken.

De bezorgdheid over spyware werd aangewakkerd door media die vorig jaar berichtten dat de Pegasus-tools van het Israëlische bedrijf NSO door regeringen werden gebruikt om journalisten, activisten en dissidenten te bespioneren.

Verkopers van zogenaamde ‘legale intercept’-spyware, zoals RCS Lab en NSO, beweren gewoonlijk dat ze alleen verkopen aan entiteiten die legitiem gebruik maken van surveillanceware, zoals politiediensten die de georganiseerde misdaad of terrorisme bestrijden, zegt Lookout. Er zijn echter veel meldingen geweest, vooral in de afgelopen jaren, van misbruik van spyware (bestandsfoto)

‘Ze beweren alleen te verkopen aan klanten met legitiem gebruik voor surveillanceware, zoals inlichtingen- en wetshandhavingsinstanties’, zei mobiele cyberbeveiligingsspecialist Lookout over bedrijven als NSO en RCS Lab.

‘In werkelijkheid zijn dergelijke instrumenten vaak misbruikt onder het mom van nationale veiligheid om bedrijfsleiders, mensenrechtenactivisten, journalisten, academici en regeringsfunctionarissen te bespioneren.’

Hoewel de tool van RCS Lab misschien niet zo onopvallend is als Pegasus, kan hij nog steeds berichten lezen en wachtwoorden bekijken, zegt Bill Marczak, een beveiligingsonderzoeker bij digitale waakhond Citizen Lab.

‘Dit toont aan dat hoewel deze apparaten alomtegenwoordig zijn, er nog een lange weg te gaan is om ze te beveiligen tegen deze krachtige aanvallen’, zei Marczak.

PEGASUS: HOE KRACHTIGE SPYWARE GEBRUIKT OM JOURNALISTEN TE HACKEN WERKT

Pegasus is een krachtig stukje ‘malware’ – kwaadaardige computersoftware – ontwikkeld door het Israëlische beveiligingsbedrijf NSO Group.

Deze specifieke vorm van malware staat bekend als ‘spyware’, wat betekent dat het is ontworpen om zonder medeweten van de eigenaar gegevens van een geïnfecteerd apparaat te verzamelen en door te sturen naar een derde partij.

Hoewel de meeste spyware een beperkte reikwijdte heeft – alleen gegevens verzamelen van specifieke delen van een geïnfecteerd systeem – lijkt Pegasus veel krachtiger, waardoor de controller bijna onbeperkte toegang tot en controle over een geïnfecteerd apparaat heeft.

Dit omvat toegang tot lijsten met contactpersonen, e-mails en sms-berichten, samen met opgeslagen foto’s, video’s en audiobestanden.

Pegasus kan ook worden gebruikt om de camera of microfoon van de telefoon over te nemen om video en audio op te nemen, en heeft toegang tot GPS-gegevens om te controleren waar de eigenaar van de telefoon is geweest.

En het kan ook worden gebruikt om nieuwe inkomende of uitgaande telefoongesprekken op te nemen.

Vroege versies van met het virus geïnfecteerde telefoons gebruiken grove ‘phishing’-aanvallen waarbij gebruikers worden opgelicht om het virus naar hun eigen telefoons te downloaden door op een kwaadaardige link te klikken die via sms of e-mail is verzonden.

Maar onderzoekers zeggen dat de software veel geavanceerder is geworden, gebruikmakend van kwetsbaarheden in gewone telefoon-apps om zogenaamde ‘zero-click’-aanvallen te lanceren die apparaten kunnen infecteren zonder dat de gebruiker iets doet.

Zo onthulde WhatsApp in 2019 dat 1.400 mensen besmet waren met software van NSO Group met behulp van een zogenaamde ‘zero day’-fout – een voorheen onbekende fout – in de belfunctie van de app.

Gebruikers raakten besmet toen er via WhatsApp naar hun telefoon werd gebeld, ongeacht of ze de oproep beantwoordden of niet.

Meer recentelijk is NSO begonnen met het misbruiken van kwetsbaarheden in de iMessage-software van Apple, waardoor het via de achterdeur toegang kreeg tot honderden miljoenen iPhones.

Apple zegt dat het zijn software voortdurend bijwerkt om dergelijke aanvallen te voorkomen, hoewel mensenrechtenorganisatie Amnesty zegt dat het succesvolle aanvallen op zelfs de meest up-to-date iOS-systemen heeft ontdekt.

NSO Group zegt dat Pegasus ook kan worden geïnstalleerd op apparaten met draadloze transceivers in de buurt van het doel, of direct op het apparaat kan worden opgestart als het eerst wordt gestolen.