Bár arról már korábban is tudtak, hogy a HackingTeam nevű olasz cég Androidhoz és iOS-hez is készít trójaiakat, azonban eddig még senki sem azonosította ezeket, és azt sem észlelték, hogy felhasználták volna támadásokban őket.

Most viszont a Kaspersky Lab egy új kutatási jelentésében felfedte az RCS (Remote Control System) malware implantátumok irányítására használt nagyméretű infrastruktúra földrajzi elhelyezkedését, és azonosította a trójait.

Ami a fertőzési módszereket illet: egy speciális rosszindulatú implantátumot készítenek minden egyes konkrét célponthoz. Mihelyt a minta elkészült, a támadó eljuttatja azt az áldozat mobil eszközére. Az ismert fertőzési módszerek között megtalálható a célzott adathalászat pszichológiai manipuláció útján – amelyhez gyakran társulnak kihasználó kódok, nulladik napi sérülékenységekhez tartozók is –, valamint a helyi fertőzés USB kábelen keresztül, amikor a mobil eszközt szinkronizálják.

Azt is kiderítették, hogy az úgynevezett Galileo mobil trójai a jailbreakelt iPhone-okat fertőzi, ugyanakkor a nem jailbreakelt iPhone-ok is sebezhetővé válhatnak: a támadó egy korábban megfertőzött számítógépen keresztül futtathat egy jailbreakelő eszközt, például az Evasi0n-t, és lebonyolíthat egy távolról végrehajtott jailbreakelést, amelyet aztán követ a trójaival való megfertőzés.

A fertőzési kockázatok elkerülésére a Kaspersky Lab szakértői azt javasolják, hogy először is ne jailbreakeljük az iPhone-unkat, másodszor pedig állandóan frissítsük az iOS-t a legújabb változatra.

Az RCS mobil modulokat egyébként úgy tervezték, hogy diszkréten működjenek, így például odafigyelnek a mobil eszköz akkujának állapotára. Ezt gondosan kialakított kémkedési funkciókkal vagy speciális indítási feltételek megadásával valósítják meg: például egy hangfelvétel csak akkor indul el, ha az áldozat egy adott Wi-Fi hálózathoz (például egy kiadóvállalat hálózatához) csatlakozik, vagy ha a tulajdonos SIM kártyát cserél, esetleg amikor az eszköz akkuját tölti.

Az RCS mobil trójaiak sokféle megfigyelési funkciót képesek végrehajtani, többek között jelentik a célszemély földrajzi helyét, fotókat készítenek, eseményeket másolnak ki a kalendáriumból, regisztrálják a fertőzött telefonba helyezett új SIM kártyát, valamint lehallgatják a beszélgetéseket és az üzeneteket. Az utóbbiak közé a hagyományos SMS-ek mellett beletartoznak a speciális alkalmazások, például a Viber, a WhatsApp és a Skype által küldött üzenetek is.