Meta Platforms zei dat het een reeks stappen heeft ondernomen om de kwaadaardige activiteiten van acht verschillende bedrijven in Italië, Spanje en de Verenigde Arabische Emiraten (VAE) die actief zijn in de surveillance-for-hire-industrie in te perken.
De bevindingen maken deel uit van het Adversarial Threat Report voor het vierde kwartaal van 2023. De spyware was gericht op iOS-, Android- en Windows-apparaten.
“Hun verschillende malware omvatte mogelijkheden voor het verzamelen en openen van apparaatinformatie, locatie, foto’s en media, contacten, agenda, e-mail, sms, sociale media en berichtenapps, en het inschakelen van microfoon-, camera- en screenshot-functionaliteit”, aldus het bedrijf.
De acht bedrijven zijn Cy4Gate/ELT Group, RCS Labs, IPS Intelligence, Variston IT, TrueL IT, Protect Electronic Systems, Negg Group en Mollitiam Industries.
Deze bedrijven hielden zich volgens Meta ook bezig met scraping-, social engineering- en phishing-activiteiten die zich richtten op een breed scala aan platforms zoals Facebook, Instagram, X (voorheen Twitter), YouTube, Skype, GitHub, Reddit, Google, LinkedIn, Quora, Tumblr, VK, Flickr, TikTok, SnapChat, Gettr, Viber, Twitch en Telegram.
Concreet zou een netwerk van fictieve persona’s gekoppeld aan RCS Labs, eigendom van Cy4Gate, gebruikers hebben misleid om hun telefoonnummers en e-mailadressen op te geven, naast het klikken op valse links voor het uitvoeren van verkenningen.
Een andere reeks inmiddels verwijderde Facebook- en Instagram-accounts die verband hielden met de Spaanse spywareleverancier Variston IT werd gebruikt voor de ontwikkeling en het testen van exploits, inclusief het delen van kwaadaardige links. Vorige week kwamen er berichten naar buiten dat het bedrijf zijn activiteiten stopzet.
Meta zei ook dat het accounts heeft geïdentificeerd die door Negg Group zijn gebruikt om de levering van zijn spyware te testen, evenals door Mollitiam Industries, een Spaans bedrijf dat reclame maakt voor een gegevensverzamelingsservice en spyware gericht op Windows, macOS en Android, om openbare informatie te verzamelen.
Elders heeft de socialemediagigant actie ondernomen tegen netwerken uit China, Myanmar en Oekraïne die gecoördineerd niet-authentiek gedrag (CIB) vertoonden door meer dan 2.000 accounts, pagina’s en groepen van Facebook en Instagram te verwijderen.
Terwijl het Chinese cluster zich op het Amerikaanse publiek richtte met inhoud die verband hield met kritiek op het Amerikaanse buitenlandse beleid jegens Taiwan en Israël en de steun aan Oekraïne, richtte het uit Myanmar afkomstige netwerk zich op zijn eigen inwoners met originele artikelen waarin het Birmese leger werd geprezen en de etnisch gewapende organisaties in diskrediet werden gebracht. Minderheidsgroepen.
Het derde cluster valt op door het gebruik van valse pagina’s en groepen om inhoud te posten die de Oekraïense politicus Viktor Razvadovskyi steunde, terwijl het ook “ondersteunend commentaar over de huidige regering en kritisch commentaar over de oppositie” in Kazachstan deelde.
De ontwikkeling komt op het moment dat een coalitie van overheid en technologiebedrijven, met inbegrip van Meta, een overeenkomst heeft getekend om het misbruik van commerciële spyware om mensenrechtenschendingen te begaan te beteugelen.
Als tegenmaatregelen heeft het bedrijf nieuwe functies geïntroduceerd, zoals Control Flow Integrity (CFI) op Messenger voor Android en VoIP-geheugenisolatie voor WhatsApp, in een poging misbruik moeilijker te maken en het algehele aanvalsoppervlak te verkleinen.
Dat gezegd hebbende, blijft de surveillance-industrie bloeien in talloze, onverwachte vormen. Vorige maand ontmaskerde 404 Media – voortbouwend op eerder onderzoek van de Irish Council for Civil Liberties (ICCL) in november 2023 – een surveillance-instrument genaamd Patroonz dat gebruikmaakt van realtime biedingsgegevens (RTB) die zijn verzameld van populaire apps zoals 9gag, Truecaller en Kik om mobiele apparaten te volgen.
“Patternz maakt het mogelijk dat nationale veiligheidsagentschappen real-time en historische door gebruikers gegenereerde gegevens gebruiken om gebruikersacties, veiligheidsbedreigingen en afwijkingen te detecteren, monitoren en voorspellen op basis van gebruikersgedrag, locatiepatronen en mobiele gebruikskenmerken, ISA, het Israëlische bedrijf achter het product beweerd op haar website.
Vorige week heeft Enea de laatste hand gelegd aan een voorheen onbekende mobiele netwerkaanval, bekend als MMS Fingerprint, die zou zijn gebruikt door Pegasus-maker NSO Group. Deze informatie is opgenomen in een contract uit 2015 tussen het bedrijf en de telecomtoezichthouder van Ghana.
Hoewel de exacte gebruikte methode enigszins een mysterie blijft, vermoedt het Zweedse telecombeveiligingsbedrijf dat het waarschijnlijk gaat om het gebruik van MM1_notification.REQ, een speciaal type sms-bericht, een binaire sms genaamd, dat het ontvangende apparaat op de hoogte stelt van een mms die wacht op ophalen van het Multimedia Messaging Service Center (MMSC).
De MMS wordt vervolgens opgehaald door middel van MM1_retrieve.REQ en MM1_retrieve.RES, waarbij de eerste een HTTP GET-verzoek is naar het URL-adres in het MM1_notification.REQ-bericht.
Het opmerkelijke aan deze aanpak is dat informatie over het apparaat van de gebruiker, zoals User-Agent (anders dan een User-Agent-string van een webbrowser) en x-wap-profiel, is ingebed in het GET-verzoek en daardoor als een soort vingerafdruk fungeert.
“De (MMS) User-Agent is een string die doorgaans het besturingssysteem en het apparaat identificeert”, aldus Enea. “x-wap-profile verwijst naar een UAProf-bestand (User Agent Profile) dat de mogelijkheden van een mobiele telefoon beschrijft.”
Een bedreigingsacteur die spyware wil inzetten, kan deze informatie gebruiken om specifieke kwetsbaarheden te misbruiken, zijn kwaadaardige ladingen aan te passen aan het doelapparaat of zelfs effectievere phishing-campagnes op te zetten. Dat gezegd hebbende, is er geen bewijs dat dit beveiligingslek de afgelopen maanden in het wild is uitgebuit.
