Google beschreibt kommerzielle Spyware, die sowohl auf Android- als auch auf iOS-Geräte abzielt

Google hat vor einem Spyware-Stamm der Unternehmensklasse gewarnt, der auf Benutzer von Android- und iOS-Mobilgeräten abzielt.

Laut Google-Gruppe zur Bedrohungsanalyse (TAG) Forscher Benoit Sevens und Clement Lecigne, sowie Project Zero, eine eigenständige iOS- und Android-Spyware-Variante für Behörden und Unternehmen, ist jetzt aktiv im Umlauf.

Opfer wurden in Italien und Kasachstan ausfindig gemacht.

Die Spyware mit dem Namen Hermit ist eine modulare Überwachungssoftware. Nach der Analyse von 16 von 25 bekannten Modulen sagten die Cybersicherheitsforscher von Lookout, dass die Malware versuchen wird, Geräte zu rooten, und über Funktionen verfügt, darunter: Aufzeichnen von Audio, Umleiten oder Tätigen von Telefonanrufen, Stehlen von Informationsschwaden wie SMS-Nachrichten, Anrufprotokollen, Kontaktlisten und Fotos , und Exfiltrieren von GPS-Standortdaten.

Analyse von Lookout, veröffentlicht Am Juni 16, schlug vor, dass die Spyware über böswillige SMS-Nachrichten gesendet wird. Die Schlussfolgerung von TAG ist ähnlich, wobei eindeutige Links, die an ein Ziel gesendet werden, sich als Nachrichten tarnen, die von einem Internetdienstanbieter (ISP) oder einer Messaging-Anwendung gesendet werden.

„In einigen Fällen glauben wir, dass die Akteure mit dem ISP des Ziels zusammengearbeitet haben, um die mobile Datenverbindung des Ziels zu deaktivieren“, sagt Google. „Nach der Deaktivierung sendete der Angreifer einen böswilligen Link per SMS und forderte das Ziel auf, eine Anwendung zu installieren, um seine Datenkonnektivität wiederherzustellen.“

Das Lookout-Team konnte nur eine Android-Version von Hermit sichern, aber jetzt hat der Beitrag von Google der Untersuchung ein iOS-Beispiel hinzugefügt. Keine Probe wurde in offiziellen Google- oder Apple-App-Repositories gefunden. Stattdessen die mit Spyware beladene apps wurden von Drittanbieter-Hosts heruntergeladen.

Das Android-Beispiel erfordert, dass ein Opfer eine .APK herunterlädt, nachdem es die Installation von Mobile zugelassen hat apps aus unbekannten Quellen. Die Malware tarnte sich als Samsung-App und nutzte Firebase als Teil ihrer Command-and-Control-Infrastruktur (C2).

„Während das APK selbst keine Exploits enthält, deutet der Code auf das Vorhandensein von Exploits hin, die heruntergeladen und ausgeführt werden könnten“, sagen die Forscher.

Google hat von der App betroffene Android-Nutzer benachrichtigt und Änderungen an Google Play Protect vorgenommen, um Nutzer vor böswilligen Aktivitäten der App zu schützen. Außerdem wurden die mit der Spyware verknüpften Firebase-Projekte deaktiviert.

Das mit einem vom Apple Developer Enterprise Program erhaltenen Zertifikat signierte iOS-Beispiel enthielt einen Privilege Escalation Exploit, der durch sechs Sicherheitslücken ausgelöst werden konnte.

Während vier (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) waren bekannt, zwei weitere — CVE-2021-30883 und CVE-2021-30983 – wurden verdächtigt, in freier Wildbahn als Zero-Days ausgenutzt worden zu sein, bevor Apple sie im Dezember 2021 gepatcht hat. Der iPad- und iPhone-Hersteller hat auch die mit der Hermit-Kampagne verbundenen Zertifikate widerrufen.

Laut Google und Lookout stammt die Spyware wahrscheinlich von RCS Lab, einem italienischen Unternehmen, das seit 1993 tätig ist. 

RCS Lab sagte gegenüber TechCrunch dass das Unternehmen „seine Produkte in Übereinstimmung mit nationalen und europäischen Vorschriften und Vorschriften exportiert“ und „jeder Verkauf oder die Umsetzung von Produkten nur nach Erhalt einer offiziellen Genehmigung der zuständigen Behörden erfolgt“.

Die Auflage von Hermit hebt nur ein umfassenderes Thema hervor: die florierende Spyware- und digitale Überwachungsindustrie.

Letzte Woche sagte Google bei der Anhörung des parlamentarischen Untersuchungsausschusses der EU über die Verwendung von Pegasus und anderer kommerzieller Spyware aus.

TAG verfolgt derzeit über 30 Anbieter, die Exploits oder Spyware für staatlich unterstützte Einrichtungen anbieten, und laut Charly Snyder, Head of Cybersecurity Policy bei Google, obwohl ihre Verwendung legal sein mag, „wird oft festgestellt, dass sie von Regierungen für Zwecke verwendet werden, die demokratischen Werten widersprechen: gegen Dissidenten, Journalisten, Menschenrechtsaktivisten und Politiker.“

„Deshalb ergreifen wir, wenn Google diese Aktivitäten entdeckt, nicht nur Maßnahmen zum Schutz der Nutzer, sondern geben diese Informationen auch öffentlich bekannt, um das Bewusstsein zu schärfen und dem Ökosystem zu helfen“, kommentierte Snyder. 

Vorherige und verwandte Abdeckung

Hast du einen Tipp? Nehmen Sie über WhatsApp | sicher Kontakt auf Signal bei + 447713 025 499 oder höher bei Keybase: charlie0