Google описва търговски шпионски софтуер, който е насочен както към устройства с Android, така и с iOS

Google предупреди за шпионски софтуер от корпоративен клас, насочен към потребителите на мобилни устройства с Android и iOS.

Според Google Група за анализ на заплахи (TAG) изследователи Benoit Sevens и Clement Lecigne, както и Проект Нула, отделен вариант на шпионски софтуер за iOS и Android от правителствено и корпоративно ниво вече е в активно разпространение.

Жертвите са открити в Италия и Казахстан.

Шпионският софтуер, наречен Hermit, е модулен софтуер за наблюдение. След анализ на 16 от 25 известни модула, изследователите на киберсигурността на Lookout казаха, че злонамереният софтуер ще се опита да руутне устройства и има функции, включително: запис на аудио, пренасочване или осъществяване на телефонни разговори, кражба на части от информация като SMS съобщения, регистър на обажданията, списъци с контакти, снимки и ексфилтриране на GPS данни за местоположение.

Анализът на Lookout е публикуван на юни 16, предполага, че шпионският софтуер се изпраща чрез злонамерени SMS съобщения. Заключението на TAG е подобно, с уникални връзки, изпратени до цел, маскирани като съобщения, изпратени от доставчик на интернет услуги (ISP) или приложение за съобщения.

„В някои случаи вярваме, че участниците са работили с интернет доставчика на целта, за да деактивират мобилната връзка за данни на целта“, казва Google. „Веднъж деактивиран, нападателят ще изпрати злонамерена връзка чрез SMS, като иска от целта да инсталира приложение, за да възстанови връзката си с данни.“

Екипът на Lookout успя да осигури само версия на Hermit за Android, но сега приносът на Google добави проба за iOS към разследването. Нито една проба не е намерена в официалните хранилища на приложения на Google или Apple. Вместо това, натоварен със шпионски софтуер apps са изтеглени от хостове на трети страни.

Примерът за Android изисква жертвата да изтегли .APK, след като разреши инсталирането на мобилно устройство apps от неизвестни източници. Зловреден софтуер се е маскирал като приложение на Samsung и е използвал Firebase като част от своята инфраструктура за командване и контрол (C2).

„Въпреки че самият APK не съдържа експлойти, кодът подсказва наличието на експлойти, които могат да бъдат изтеглени и изпълнени“, казват изследователите.

Google уведоми потребителите на Android, засегнати от приложението, и направи промени в Google Play Protect, за да защити потребителите от злонамерените дейности на приложението. Освен това проектите на Firebase, свързани с шпионския софтуер, са деактивирани.

Примерът за iOS, подписан със сертификат, получен от програмата Apple Developer Enterprise, съдържа експлойт за повишаване на привилегиите, който може да бъде задействан от шест уязвимости.

Докато четири (CVE-2018 4344-, CVE-2019 8605-, CVE-2020 3837-, CVE-2020 9907-) бяха известни, други двама — CVE-2021 30883- намлява CVE-2021 30983- — бяха заподозрени, че са използвани в дивата природа като нула дни, преди Apple да ги закърпи през декември 2021 г. Производителят на iPad и iPhone също отмени сертификатите, свързани с кампанията Hermit.

Google и Lookout казват, че шпионският софтуер вероятно се дължи на RCS Lab, италианска компания, работеща от 1993 г. 

RCS Lab каза пред TechCrunch че фирмата „изнася продуктите си в съответствие както с националните, така и с европейските правила и разпоредби“ и „всякакви продажби или внедряване на продукти се извършват само след получаване на официално разрешение от компетентните органи“.

Тиражът на Hermit само подчертава по-широк проблем: процъфтяващата индустрия за шпионски софтуер и цифрово наблюдение.

Миналата седмица Google свидетелства по време на изслушването на Парламентарната анкетна комисия на ЕС относно използването на Pegasus и друг шпионски софтуер от търговска степен.

В момента TAG проследява над 30 доставчици, които предлагат експлойти или шпионски софтуер на субекти, подкрепяни от правителството, и според Чарли Снайдер, ръководител на политиката за киберсигурност в Google, въпреки че използването им може да е законно, „често се установява, че се използват от правителствата за цели, противоречащи на демократичните ценности: насочване към дисиденти, журналисти, правозащитници и политици.“

„Ето защо, когато Google открие тези дейности, ние не само предприемаме стъпки за защита на потребителите, но разкриваме тази информация публично, за да повишим осведомеността и да помогнем на екосистемата“, коментира Снайдер. 

Предишно и свързано покритие

Имате ли съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или на Keybase: charlie0