Kaspersky Lab ontdekt nieuwe mobiele malware voor Android en iOS

Kaspersky Lab publiceert vandaag een nieuw onderzoeksrapport dat een enorme internationale infrastructuur in kaart brengt, die wordt gebruikt om 'Remote Control System' (RCS) malware-implantaten te bedienen. Daarnaast identificeert het rapport voorheen verborgen gebleven mobiele Trojans die zowel onder Android als iOS werken. Deze modules maken deel uit van de zogenaamde 'legale' spyware-tool RCS, oftewel Galileo, ontwikkeld door het Italiaanse bedrijf HackingTeam.

De lijst van slachtoffers die worden aangeduid in het nieuwe onderzoek - uitgevoerd door Kaspersky Lab in combinatie met partner Citizen Lab - omvat activisten en voorvechters van mensenrechten, evenals journalisten en politici.

RCS infrastructuur 
Kaspersky Lab heeft gewerkt aan verschillende manieren om Galileo's command & control (C&C) servers wereldwijd op te sporen. Voor het identificatieproces vertrouwden deskundigen van Kaspersky Lab op speciale indicatoren en connectiviteitsgegevens, verkregen via reverse engineering van bestaande monsters.

Tijdens de laatste analyse konden onderzoekers van Kaspersky Lab de aanwezigheid van meer dan 320 RCS C&C-servers in meer dan 40 landen in kaart brengen. Het merendeel van de servers is gevestigd in de Verenigde Staten, Kazachstan, Ecuador, het Verenigd Koninkrijk en Canada. 

In een reactie op de nieuwste bevindingen zegt Sergey Golovanov, Principal Security Researcher bij Kaspersky Lab: "De aanwezigheid van deze servers in een bepaald land hoeft er niet op te duiden dat ze worden gebruikt door de wetshandhavingsinstanties van dat specifieke land. Het is voor de gebruikers van RCS echter wel een logische keus om C&C's in te zetten op plaatsen die ze onder controle hebben - locaties met een minimale kans op grensoverschrijdende juridische kwesties of beslaglegging op servers."

RCS mobiele implantaten
Hoewel het bestaan van HackingTeams mobiele Trojans voor iOS en Android al langer bekend was, had niemand ze tot nu toe daadwerkelijk geïdentificeerd - of het gebruik ervan opgemerkt tijdens aanvallen. Deskundigen van Kaspersky Lab hebben inmiddels enkele jaren onderzoek gedaan naar de RCS-malware. Eerder dit jaar waren ze in staat om bepaalde monsters van mobiele modules te identificeren die overeenstemden met de andere RCS-malware configuratieprofielen in hun collectie. Tijdens het recente onderzoek stuurden slachtoffers via Kaspersky Labs cloud-gebaseerde KSN-netwerk ook nieuwe varianten van de monsters in. Daarnaast werkten deskundigen van het bedrijf nauw samen met Morgan Marquis-Boire van Citizen Lab, die uitvoerig onderzoek heeft gedaan naar de HackingTeam malware-set. 

Infectievectoren: De exploitanten achter de Galileo RCS bouwen een specifiek kwaadaardig implantaat voor elk concreet doelwit. Zodra het monster klaar is, levert de aanvaller het af op het mobiele toestel van het slachtoffer. Tot de bekende infectievectoren behoren spearphishing via social engineering - vaak gepaard gaand met exploits, inclusief zero-days; en lokale infecties via USB-kabels, tijdens het synchroniseren van mobiele apparaten.

Een van de belangrijkste ontdekkingen betrof de manier waarop een mobiele Galileo Trojan een iPhone infecteert: om dit te doen, moet bij het apparaat sprake zijn van een jailbreak. iPhones zonder jailbreak kunnen echter ook kwetsbaar worden: een aanvaller kan een jailbreak tool zoals 'Evasi0n' draaien via een eerder geïnfecteerde computer en een jailbreak op afstand uitvoeren, gevolgd door de infectie. Om het risico op infectie te vermijden, raden deskundigen van Kaspersky Lab ten eerste af om een iPhone te jailbreaken. Verder adviseren zij het iOS op het apparaat altijd bij te werken naar de nieuwste versie.

Spionage op maat: RCS mobiele modules zijn zorgvuldig ontworpen om op een discrete manier te werken, bijvoorbeeld door goed te letten op de batterijduur van het mobiele toestel. Dit wordt geïmplementeerd via zorgvuldig aangepaste spionagemogelijkheden, of speciale triggers. Een audio-opname kan bijvoorbeeld alleen worden gestart wanneer een slachtoffer is verbonden met een bepaald wifi-netwerk (bijvoorbeeld het netwerk van een mediabedrijf), of wanneer hij/zij de SIM-kaart verwisselt, of tijdens het opladen van het toestel.

Algemeen gesproken zijn RCS mobiele Trojans in staat om vele verschillende soorten surveillancefuncties uit te voeren. Hiertoe behoren rapportage over de locatie van het doelwit, het maken van foto's, het kopiëren van gebeurtenissen uit de agenda, het registreren van nieuwe SIM-kaarten die in het besmette apparaat worden geplaatst en het onderscheppen van telefoongesprekken en berichten; inclusief berichten verzonden vanuit specifieke toepassingen zoals Viber, WhatsApp en Skype, in aanvulling op reguliere SMS-berichten.