O campanie de spyware sofisticată primește ajutorul furnizorilor de servicii de internet (ISP) pentru a păcăli utilizatorii să descarce aplicații rău intenționate, potrivit cercetărilor publicate de Grupul de analiză a amenințărilor (TAG) de la Google (prin TechCrunch). Acest lucru coroborează descoperirile anterioare ale grupului de cercetare în domeniul securității Lookout, care a legat programul spyware, numit Hermit, de furnizorul italian de programe spion RCS Labs.
Lookout spune că RCS Labs se află în aceeași linie de activitate ca NSO Group – infama companie de supraveghere pentru închiriere din spatele programului spion Pegasus – și furnizează spyware comercial către diverse agenții guvernamentale. Cercetătorii de la Lookout cred că Hermit a fost deja trimis de guvernul Kazahstanului și de autoritățile italiene. În conformitate cu aceste constatări, Google a identificat victime în ambele țări și spune că va anunța utilizatorii afectați.
După cum este descris în raportul Lookout, Hermit este o amenințare modulară care poate descărca capabilități suplimentare de pe un server de comandă și control (C2). Acest lucru permite programului spyware să acceseze înregistrările apelurilor, locația, fotografiile și mesajele text de pe dispozitivul unei victime. Hermit este, de asemenea, capabil să înregistreze audio, să efectueze și să intercepteze apeluri telefonice, precum și să facă root pe un dispozitiv Android, ceea ce îi oferă control deplin asupra sistemului său de operare de bază.
Spyware-ul poate infecta atât Android-ul, cât și iPhone-urile, deghându-se într-o sursă legitimă, luând de obicei forma unui operator de telefonie mobilă sau a unei aplicații de mesagerie. Cercetătorii Google în domeniul securității cibernetice au descoperit că unii atacatori au lucrat de fapt cu furnizorii de servicii de internet pentru a opri datele mobile ale victimei pentru a-și promova schema. Actorii răi s-ar prezenta ca operatorul de telefonie mobilă al victimei prin SMS și ar păcăli utilizatorii să creadă că o descărcare de aplicație rău intenționată le va restabili conectivitatea la internet. Dacă atacatorii nu puteau lucra cu un ISP, Google spune că s-au prezentat drept aplicații de mesagerie aparent autentice pe care i-au înșelat pe utilizatori să le descarce.
Cercetătorii de la Lookout și TAG spun că aplicațiile care conțin Hermit nu au fost niciodată disponibile prin Google Play sau Apple App Store. Cu toate acestea, atacatorii au reușit să distribuie aplicații infectate pe iOS prin înscrierea în programul Apple pentru dezvoltatori Enterprise. Acest lucru a permis actorilor răi să ocolească procesul standard de verificare al App Store și să obțină un certificat care „satisface toate cerințele de semnare a codului iOS pe orice dispozitiv iOS”.
Apple a declarat pentru NewIT că de atunci a revocat toate conturile sau certificatele asociate cu amenințarea. Pe lângă notificarea utilizatorilor afectați, Google a trimis și o actualizare Google Play Protect tuturor utilizatorilor.
