Google beskriver kommerciel spyware, der er rettet mod både Android- og iOS-enheder

Google har advaret om en spyware-stamme i virksomhedskvalitet, der er målrettet mod brugere af Android- og iOS-mobilenheder.

Ifølge Googles gruppe for trusselsanalyse (TAG) forskere Benoit Sevens og Clement Lecigne, samt Project Zero, en særskilt regerings- og virksomhedskvalitets iOS- og Android-spywarevariant er nu i aktiv cirkulation.

Ofrene er blevet lokaliseret i Italien og Kasakhstan.

Spywaren, kaldet Hermit, er modulopbygget overvågningsware. Efter at have analyseret 16 ud af 25 kendte moduler sagde Lookout cybersikkerhedsforskere, at malwaren vil forsøge at roote enheder og har funktioner, herunder: optagelse af lyd, omdirigere eller foretage telefonopkald, stjæle dele af information såsom SMS-beskeder, opkaldslogger, kontaktlister, fotos og eksfiltrerende GPS-placeringsdata.

Lookouts analyse, offentliggjort i juni 16, foreslog, at spywaren sendes via ondsindede SMS-beskeder. TAG's konklusion er den samme, med unikke links sendt til et mål, der forklæder sig som beskeder sendt af en internetudbyder (ISP) eller en beskedapplikation.

"I nogle tilfælde tror vi, at aktørerne arbejdede med målets internetudbyder for at deaktivere målets mobildataforbindelse," siger Google. "Når den er deaktiveret, ville angriberen sende et ondsindet link via SMS og bede målet om at installere et program for at gendanne deres dataforbindelse."

Lookout-teamet kunne kun sikre sig en Android-version af Hermit, men nu har Googles bidrag tilføjet en iOS-prøve til undersøgelsen. Ingen af ​​prøverne blev fundet i officielle Google- eller Apple-applagre. I stedet spyware-belastet apps blev downloadet fra tredjepartsværter.

Android-eksemplet kræver, at et offer downloader en .APK efter at have tilladt installation af mobil apps fra ukendte kilder. Malwaren forklædte sig som en Samsung-app og brugte Firebase som en del af sin kommando-og-kontrol-infrastruktur (C2).

"Mens selve APK'en ikke indeholder nogen udnyttelser, antyder koden tilstedeværelsen af ​​udnyttelser, der kunne downloades og udføres," siger forskerne.

Google har underrettet Android-brugere, der er påvirket af appen, og foretaget ændringer i Google Play Protect for at beskytte brugere mod appens ondsindede aktiviteter. Derudover er Firebase-projekterne forbundet med spywaren blevet deaktiveret.

iOS-eksemplet, der er underskrevet med et certifikat, der er hentet fra Apple Developer Enterprise Program, indeholdt en udnyttelse af privilegieeskalering, der kunne udløses af seks sårbarheder.

Mens fire (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) var kendt, to andre - CVE-2021-30883 , CVE-2021-30983 — var mistænkt for at blive udnyttet i naturen som nul-dage, før Apple lappede dem i december 2021. iPad- og iPhone-producenten har også tilbagekaldt certifikaterne forbundet med Eremit-kampagnen.

Google og Lookout siger, at spywaren sandsynligvis kan tilskrives RCS Lab, en italiensk virksomhed i drift siden 1993. 

RCS Lab fortalte TechCrunch at virksomheden "eksporterer sine produkter i overensstemmelse med både nationale og europæiske regler og forskrifter," og "ethvert salg eller implementering af produkter udføres kun efter at have modtaget en officiel tilladelse fra de kompetente myndigheder."

Hermits cirkulation fremhæver kun et bredere problem: den blomstrende spyware- og digital overvågningsindustri.

I sidste uge vidnede Google ved EU's parlamentariske undersøgelsesudvalgs høring om brugen af ​​Pegasus og anden kommerciel kvalitet spyware.

TAG sporer i øjeblikket over 30 leverandører, der tilbyder exploits eller spyware til regeringsstøttede enheder, og iflg. Charley Snyder, chef for cybersikkerhedspolitik hos Google, selvom deres brug kan være lovlig, "viser de sig ofte at blive brugt af regeringer til formål, der er i modstrid med demokratiske værdier: målrettet mod dissidenter, journalister, menneskerettighedsarbejdere og politikere."

"Det er derfor, når Google opdager disse aktiviteter, tager vi ikke kun skridt til at beskytte brugerne, men afslører disse oplysninger offentligt for at øge bevidstheden og hjælpe økosystemet," kommenterede Snyder. 

Tidligere og relateret dækning

Har du et tip? Få kontakt sikkert via WhatsApp | Signal ved + 447713 025 499, eller over på Keybase: charlie0