Google navodi komercijalni špijunski softver koji cilja i na Android i iOS uređaje

Google je upozorio na soj špijunskog softvera za preduzeća koji cilja korisnike Android i iOS mobilnih uređaja.

Prema Google grupa za analizu prijetnji (TAG) istraživači Benoit Sevens i Clement Lecigne, kao i Projekt Zero, posebna varijanta iOS i Android špijunskog softvera za državnu i poslovnu razinu sada je u aktivnom prometu.

Žrtve su locirane u Italiji i Kazahstanu.

Špijunski softver, nazvan Hermit, je modularni nadzorni softver. Nakon analize 16 od 25 poznatih modula, istraživači kibernetičke sigurnosti Lookout-a rekli su da će zlonamjerni softver pokušati iskorijeniti uređaje i ima značajke koje uključuju: snimanje zvuka, preusmjeravanje ili upućivanje telefonskih poziva, krađu informacija kao što su SMS poruke, evidencije poziva, liste kontakata, fotografije , i eksfiltriranje podataka o GPS lokaciji.

Lookoutova analiza, objavljena u junu 16, sugerirao je da se špijunski softver šalje putem zlonamjernih SMS poruka. Zaključak TAG-a je sličan, s jedinstvenim linkovima koji se šalju na cilj koji se maskiraju kao poruke koje šalje provajder internet usluga (ISP) ili aplikacija za razmjenu poruka.

“U nekim slučajevima vjerujemo da su akteri radili s ISP-om cilja kako bi onemogućili mobilnu podatkovnu vezu cilja”, kaže Google. “Kada je onemogućen, napadač bi poslao zlonamjernu vezu putem SMS-a tražeći od cilja da instalira aplikaciju kako bi povratio svoju podatkovnu povezanost.”

Tim Lookout mogao je osigurati samo Android verziju Hermita, ali sada je Googleov doprinos istrazi dodao uzorak iOS-a. Nijedan uzorak nije pronađen u službenim spremištima Google ili Apple aplikacija. Umjesto toga, špijunski natovaren apps preuzeti su sa hostova trećih strana.

Android uzorak zahtijeva od žrtve da preuzme .APK nakon što dozvoli instalaciju mobilnog telefona apps iz nepoznatih izvora. Zlonamjerni softver se maskirao u Samsungovu aplikaciju i koristio Firebase kao dio svoje komandne i kontrolne (C2) infrastrukture.

„Dok sam APK ne sadrži nikakve eksploatacije, kod nagoveštava prisustvo eksploatacija koje bi se mogle preuzeti i izvršiti“, kažu istraživači.

Google je obavijestio korisnike Androida na koje aplikacija utiče i napravio promjene u Google Play zaštiti kako bi zaštitio korisnike od zlonamjernih aktivnosti aplikacije. Osim toga, Firebase projekti povezani sa špijunskim softverom su onemogućeni.

Uzorak iOS-a, potpisan certifikatom dobivenim od Apple Developer Enterprise Programa, sadržavao je eksploataciju eskalacije privilegija koju bi moglo pokrenuti šest ranjivosti.

Dok četiri (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) bili su poznati, dva druga — CVE-2021-30883 i CVE-2021-30983 — za koje se sumnjalo da su eksploatisani u divljini nula dana prije nego što ih je Apple zakrpio u decembru 2021. Proizvođač iPada i iPhonea također je opozvao certifikate povezane s kampanjom Hermit.

Google i Lookout kažu da se špijunski softver vjerovatno može pripisati RCS Labu, italijanskoj kompaniji koja radi od 1993. godine. 

RCS Lab je rekao za TechCrunch da firma “izvozi svoje proizvode u skladu sa nacionalnim i evropskim pravilima i propisima” i “svaka prodaja ili implementacija proizvoda obavlja se tek nakon dobijanja službene dozvole od nadležnih organa”.

Hermitov tiraž samo naglašava širi problem: naprednu industriju špijunskog softvera i digitalnog nadzora.

Prošle sedmice, Google je svjedočio na saslušanju u istražnom odboru Parlamenta EU o korištenju Pegasus-a i drugog špijunskog softvera komercijalnog kvaliteta.

TAG trenutno prati preko 30 dobavljača koji nude eksploataciju ili špijunski softver entitetima koje podržava vlada, a prema Charley Snyder, šef politike kibernetičke sigurnosti u Googleu, iako njihova upotreba može biti legalna, “često se otkrije da ih vlade koriste u svrhe koje su suprotne demokratskim vrijednostima: ciljanje na disidente, novinare, radnike za ljudska prava i političare.”

„Zato kada Google otkrije ove aktivnosti, ne samo da preduzimamo korake da zaštitimo korisnike, već i javno otkrivamo te informacije kako bismo podigli svijest i pomogli ekosistemu“, komentirao je Snyder. 

Prethodno i srodno pokrivanje

Imaš savet? Sigurno stupite u kontakt putem WhatsApp-a | Signal na +447713 025 499 ili više na Keybase: charlie0