Securityspecialisten van Google’s Threat Analysis Group (TAG) en Project Zero hebben een nieuwe spyware-variant ontdekt voor iOS en Android. De spyware werd ontwikkeld door het Italiaanse RCS Lab.

Volgens de securityspecialisten is de spyware onder meer opgedoken op smartphones van slachtoffers in Italië en Kazakhstan. De spyware wordt op de iOS- en Android-devices van slachtoffers geïnstalleerd via atypische drive-by-downloads.

Infectie

Slachtoffers krijgen een unieke link naar hun mobiele device toegestuurd. Wanneer zij op deze link klikken, probeert de geopende webpagina een kwaadaardige applicatie te downloaden en installeren.

In sommige gevallen zouden de partijen achter de spyware samenwerken met operators. Hierbij zou de mobiele verbinding tijdelijk onklaar worden gemaakt en krijgen de slachtoffers een verzoek via sms voor het downloaden van een applicatie voor het ‘herstel’ van hun mobiele verbinding. Wanneer samenwerking met operators niet mogelijk is wordt de spyware vaak verborgen als applicatie van mobiele operators.

Pegasus spyware

De spyware van het Italiaanse RCS Lab doet denken aan de bekende Pegasus-software van het Israëlische bedrijf NSO Group. Deze spyware is aangetroffen in meerdere landen. Het programma opereert onontdekt en tapt al het verkeer van besmette smartphones af. De spyware van RCS Lab zou minder ingrijpend zijn dat Pegasus, maar kijkt desondanks mee met berichtenverkeer, contactlijsten en wachtwoorden.

Maatregelen Apple en Google

Apple en Android hebben inmiddels maatregelen genomen die de werking van de software tegengaan. Zo heeft Apple alle bekende accounts en certificaten ingetrokken die met deze campagne worden geassocieerd. Google bracht Android-gebruikers op de hoogte van de software.

Tip: NSO Group-software bespiedt journalisten en activisten