In een rapport zegt Google dat het gaat om spyware van het Italiaanse RCS Labs. Die zegt dat het europese politiediensten ('law enforcement') als klanten heeft en aan hen tools levert om te spioneren in privéberichten en contacten van slachtoffers.

Google, de maker van het Android besturingssysteem, waarschuwt nu dat het gerichte aanvallen heeft gemerkt met die spyware op toestellen in Kazachstan en Italië en dat zowel tegen Android als iOS (iPhone). Apple zegt daarover aan Reuters dat het accounts en certificaten betrokken in de hackingcampagne heeft ingetrokken. Google zegt ook dat het maatregelen heeft genomen en de slachtoffers heeft ingelicht.

Valse operator app

RCS Labs zou verschillende tactieken combineren om slachtoffers te infecteren. Onder meer drive-by-downloads worden daarbij genoemd. Daarbij wordt je als slachtoffer overtuigd om op een link te klikken waarbij de infectie op de achtergrond gebeurt. Bij nog geavanceerde en nog niet ontdekte malware betekent dit dat je als gebruiker niets moet installeren of goedkeuren, op de link klikken waarna de malware wordt doorgestuurd is in veel gevallen genoeg om de aanval succesvol te maken.

Hier gebeurt het op een iets andere manier. Om gebruikers zo ver te krijgen denkt Google dat de uitvoerders (politiediensten) samenwerken met de mobiele operator om de mobiele data van het slachtoffer uit te zetten. Vervolgens wordt er een sms verstuurd met de vraag om op die link te klikken en zo een app te installeren om de dataverbinding te herstellen. Mede daarom denkt Google dat sommige van de aanvallen verborgen zijn als (valse) apps van de telecomprovider.

RCS Labs zelf zegt aan het persagentschap dat het de Europese wetgeving volgt, maar ook dat haar eigen personeel niet deelneemt in de activiteiten van haar klanten en enig misbruik van de tools veroordeelt.

Google van haar kant is kritisch voor zulke praktijken. In haar rapport zegt het dat zulke spelers zorgen voor de verspreiding van gevaarlijke hackingtools en zo overheden bewapenen. Een meer technische analyse van de bevindingen kan je nalezen op de Project Zero blog van Google.

Herhaling van NSO-affaire?

Het geheel doet sterk denken aan de Pegasus spyware van de Israëlische NSO Group. Die laat overheden toe om individuele gebruikers te hacken en af te luisteren. Op papier wordt de software enkel verkocht aan democratische regimes met het oog op bestrijding van terrorisme of zware criminaliteit, maar internationaal onderzoek toonde vorig jaar aan dat NSO haar software ook aan landen verkocht die het minder nauw nemen met democratie of mensenrechten. Zo werden ook activisten, politieke dissidenten en journalisten afgeluisterd. Deze week nog raakte bekend dat ook minstens vijf Europese landen Pegasus hebben gebruikt.

In een rapport zegt Google dat het gaat om spyware van het Italiaanse RCS Labs. Die zegt dat het europese politiediensten ('law enforcement') als klanten heeft en aan hen tools levert om te spioneren in privéberichten en contacten van slachtoffers.Google, de maker van het Android besturingssysteem, waarschuwt nu dat het gerichte aanvallen heeft gemerkt met die spyware op toestellen in Kazachstan en Italië en dat zowel tegen Android als iOS (iPhone). Apple zegt daarover aan Reuters dat het accounts en certificaten betrokken in de hackingcampagne heeft ingetrokken. Google zegt ook dat het maatregelen heeft genomen en de slachtoffers heeft ingelicht.RCS Labs zou verschillende tactieken combineren om slachtoffers te infecteren. Onder meer drive-by-downloads worden daarbij genoemd. Daarbij wordt je als slachtoffer overtuigd om op een link te klikken waarbij de infectie op de achtergrond gebeurt. Bij nog geavanceerde en nog niet ontdekte malware betekent dit dat je als gebruiker niets moet installeren of goedkeuren, op de link klikken waarna de malware wordt doorgestuurd is in veel gevallen genoeg om de aanval succesvol te maken.Hier gebeurt het op een iets andere manier. Om gebruikers zo ver te krijgen denkt Google dat de uitvoerders (politiediensten) samenwerken met de mobiele operator om de mobiele data van het slachtoffer uit te zetten. Vervolgens wordt er een sms verstuurd met de vraag om op die link te klikken en zo een app te installeren om de dataverbinding te herstellen. Mede daarom denkt Google dat sommige van de aanvallen verborgen zijn als (valse) apps van de telecomprovider.RCS Labs zelf zegt aan het persagentschap dat het de Europese wetgeving volgt, maar ook dat haar eigen personeel niet deelneemt in de activiteiten van haar klanten en enig misbruik van de tools veroordeelt.Google van haar kant is kritisch voor zulke praktijken. In haar rapport zegt het dat zulke spelers zorgen voor de verspreiding van gevaarlijke hackingtools en zo overheden bewapenen. Een meer technische analyse van de bevindingen kan je nalezen op de Project Zero blog van Google.Het geheel doet sterk denken aan de Pegasus spyware van de Israëlische NSO Group. Die laat overheden toe om individuele gebruikers te hacken en af te luisteren. Op papier wordt de software enkel verkocht aan democratische regimes met het oog op bestrijding van terrorisme of zware criminaliteit, maar internationaal onderzoek toonde vorig jaar aan dat NSO haar software ook aan landen verkocht die het minder nauw nemen met democratie of mensenrechten. Zo werden ook activisten, politieke dissidenten en journalisten afgeluisterd. Deze week nog raakte bekend dat ook minstens vijf Europese landen Pegasus hebben gebruikt.