Google podrobně popisuje komerční spyware, který cílí na zařízení Android i iOS

Google varoval před kmenem spywaru podnikové úrovně zaměřeným na uživatele mobilních zařízení Android a iOS.

Podle Skupina pro analýzu hrozeb Google (TAG) výzkumníci Benoit Sevens a Clement Lecigne, stejně jako Project Zero, zřetelná vládní a podniková varianta spywaru pro iOS a Android je nyní v aktivním oběhu.

Oběti byly lokalizovány v Itálii a Kazachstánu.

Spyware, přezdívaný Hermit, je modulární sledovací software. Po analýze 16 z 25 známých modulů výzkumníci z oblasti kybernetické bezpečnosti společnosti Lookout uvedli, že se malware pokusí rootnout zařízení a má funkce včetně: nahrávání zvuku, přesměrování nebo telefonování, krádeže hromad informací, jako jsou SMS zprávy, protokoly hovorů, seznamy kontaktů, fotografie. a získávání údajů o poloze GPS.

Rozhledna analýza, zveřejněna na červnu 16, navrhl, že spyware je odesílán prostřednictvím škodlivých SMS zpráv. Závěr TAG je podobný, přičemž jedinečné odkazy odeslané cíli se maskují jako zprávy zaslané poskytovatelem internetových služeb (ISP) nebo aplikací pro zasílání zpráv.

„V některých případech se domníváme, že aktéři spolupracovali s cílovým ISP, aby deaktivovali mobilní datové připojení cíle,“ říká Google. "Po deaktivaci by útočník poslal prostřednictvím SMS škodlivý odkaz s žádostí o instalaci aplikace pro obnovení jejich datového připojení."

Tým Lookout mohl zajistit pouze verzi Hermit pro Android, ale nyní příspěvek společnosti Google přidal do vyšetřování vzorek iOS. Žádný vzorek nebyl nalezen v oficiálních repozitářích aplikací Google nebo Apple. Místo toho, spyware-obtěžkaný apps byly staženy z hostitelů třetích stran.

Ukázka pro Android vyžaduje, aby si oběť stáhla soubor .APK po povolení instalace mobilního zařízení apps z neznámých zdrojů. Malware se maskoval jako aplikace Samsung a používal Firebase jako součást své infrastruktury příkazů a řízení (C2).

„Zatímco samotný APK neobsahuje žádné exploity, kód naznačuje přítomnost exploitů, které by bylo možné stáhnout a spustit,“ říkají vědci.

Google upozornil uživatele Androidu, kterých se aplikace dotkla, a provedl změny v Google Play Protect, aby chránil uživatele před škodlivými aktivitami aplikace. Kromě toho byly zakázány projekty Firebase spojené se spywarem.

Vzorek pro iOS, podepsaný certifikátem získaným z programu Apple Developer Enterprise Program, obsahoval zneužití eskalace oprávnění, které mohlo být spuštěno šesti chybami zabezpečení.

Zatímco čtyři (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) byli známi, dva další — CVE-2021-30883 a CVE-2021-30983 — byli podezřelí z využívání ve volné přírodě jako nulté dny předtím, než je Apple v prosinci 2021 opravoval. Výrobce iPadů a iPhonů také zrušil certifikáty spojené s kampaní Hermit.

Google a Lookout tvrdí, že spyware lze pravděpodobně připsat italské společnosti RCS Lab, která funguje od roku 1993. 

RCS Lab řekl TechCrunch že firma „vyváží své produkty v souladu s národními i evropskými pravidly a předpisy“ a „jakýkoli prodej nebo implementace produktů se provádí pouze po obdržení oficiálního povolení od příslušných orgánů“.

Hermitův oběh pouze zdůrazňuje širší problém: prosperující průmysl spywaru a digitálního sledování.

Minulý týden společnost Google svědčila na slyšení vyšetřovacího výboru Evropského parlamentu o používání programu Pegasus a dalšího komerčního spywaru.

TAG v současné době sleduje více než 30 dodavatelů, kteří nabízejí exploity nebo spyware subjektům podporovaným vládou, a podle Charley Snyder, vedoucí zásad kybernetické bezpečnosti ve společnosti Google, ačkoli jejich použití může být legální, „často se zjistí, že jsou používány vládami k účelům, které jsou v rozporu s demokratickými hodnotami: cílení na disidenty, novináře, pracovníky v oblasti lidských práv a politiky.“

„Proto, když Google tyto aktivity objeví, nejenže podnikneme kroky k ochraně uživatelů, ale tyto informace zveřejníme, abychom zvýšili povědomí a pomohli ekosystému,“ komentoval Snyder. 

Předchozí a související pokrytí

Máte tip? Spojte se bezpečně přes WhatsApp | Signál na +447713 025 499 nebo na Keybase: charlie0