Η Google αναφέρει λεπτομερώς το εμπορικό spyware που στοχεύει τόσο συσκευές Android όσο και iOS

Η Google έχει προειδοποιήσει για ένα είδος λογισμικού κατασκοπείας εταιρικής ποιότητας που στοχεύει χρήστες κινητών συσκευών Android και iOS.

Σύμφωνα με Ομάδα ανάλυσης απειλών Google (TAG) οι ερευνητές Benoit Sevens και Clement Lecigne, καθώς και Έργο Zero, μια ξεχωριστή παραλλαγή λογισμικού κατασκοπείας iOS και Android για κυβερνητικούς και επιχειρησιακούς τύπους είναι τώρα σε ενεργή κυκλοφορία.

Τα θύματα εντοπίστηκαν στην Ιταλία και το Καζακστάν.

Το spyware, που ονομάστηκε Hermit, είναι αρθρωτό λογισμικό παρακολούθησης. Αφού ανέλυσαν 16 από τις 25 γνωστές ενότητες, οι ερευνητές κυβερνοασφάλειας του Lookout είπαν ότι το κακόβουλο λογισμικό θα προσπαθήσει να ξεριζώσει συσκευές και διαθέτει χαρακτηριστικά όπως: εγγραφή ήχου, ανακατεύθυνση ή πραγματοποίηση τηλεφωνικών κλήσεων, κλοπή τμημάτων πληροφοριών όπως μηνύματα SMS, αρχεία καταγραφής κλήσεων, λίστες επαφών, φωτογραφίες , και εξαγωγή δεδομένων τοποθεσίας GPS.

Η ανάλυση του Lookout, δημοσιεύτηκε τον Ιούνιο 16, πρότεινε ότι το spyware αποστέλλεται μέσω κακόβουλων μηνυμάτων SMS. Το συμπέρασμα του TAG είναι παρόμοιο, με μοναδικούς συνδέσμους που αποστέλλονται σε έναν στόχο που μεταμφιέζονται ως μηνύματα που αποστέλλονται από έναν πάροχο υπηρεσιών Διαδικτύου (ISP) ή μια εφαρμογή ανταλλαγής μηνυμάτων.

«Σε ορισμένες περιπτώσεις, πιστεύουμε ότι οι παράγοντες συνεργάστηκαν με τον ISP του στόχου για να απενεργοποιήσουν τη συνδεσιμότητα δεδομένων κινητής τηλεφωνίας του στόχου», λέει η Google. «Μόλις απενεργοποιηθεί, ο εισβολέας θα έστελνε έναν κακόβουλο σύνδεσμο μέσω SMS ζητώντας από τον στόχο να εγκαταστήσει μια εφαρμογή για να ανακτήσει τη συνδεσιμότητα δεδομένων του».

Η ομάδα Lookout μπορούσε να εξασφαλίσει μόνο μια έκδοση Android του Hermit, αλλά τώρα, η συνεισφορά της Google πρόσθεσε ένα δείγμα iOS στην έρευνα. Κανένα δείγμα δεν βρέθηκε στα επίσημα αποθετήρια εφαρμογών της Google ή της Apple. Αντ 'αυτού, το spyware φορτωμένο apps λήφθηκαν από κεντρικούς υπολογιστές τρίτων.

Το δείγμα Android απαιτεί από ένα θύμα να κατεβάσει ένα .APK αφού επιτρέψει την εγκατάσταση του κινητού apps από άγνωστες πηγές. Το κακόβουλο λογισμικό μεταμφιέστηκε σε εφαρμογή της Samsung και χρησιμοποίησε το Firebase ως μέρος της υποδομής εντολών και ελέγχου (C2).

«Ενώ το ίδιο το APK δεν περιέχει κανένα exploits, ο κώδικας υποδηλώνει την παρουσία εκμεταλλεύσεων που θα μπορούσαν να ληφθούν και να εκτελεστούν», λένε οι ερευνητές.

Η Google έχει ειδοποιήσει τους χρήστες Android που επηρεάζονται από την εφαρμογή και έχει κάνει αλλαγές στο Google Play Protect για να προστατεύει τους χρήστες από τις κακόβουλες δραστηριότητες της εφαρμογής. Επιπλέον, τα έργα Firebase που σχετίζονται με το spyware έχουν απενεργοποιηθεί.

Το δείγμα iOS, υπογεγραμμένο με πιστοποιητικό που ελήφθη από το Apple Developer Enterprise Program, περιείχε μια εκμετάλλευση κλιμάκωσης προνομίων που θα μπορούσε να ενεργοποιηθεί από έξι ευπάθειες.

Ενώ τέσσερις (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) ήταν γνωστοί, άλλοι δύο — CVE-2021-30883 και CVE-2021-30983 — υπήρξαν ύποπτες εκμετάλλευσης στη φύση ως μηδέν ημέρες προτού η Apple τα διορθώσει τον Δεκέμβριο του 2021. Ο κατασκευαστής iPad και iPhone έχει επίσης ανακαλέσει τα πιστοποιητικά που σχετίζονται με την καμπάνια Hermit.

Η Google και η Lookout λένε ότι το spyware πιθανότατα αποδίδεται στην RCS Lab, μια ιταλική εταιρεία που λειτουργεί από το 1993. 

Η RCS Lab είπε στο TechCrunch ότι η εταιρεία «εξάγει τα προϊόντα της σύμφωνα με τους εθνικούς και ευρωπαϊκούς κανόνες και κανονισμούς» και «οποιεσδήποτε πωλήσεις ή υλοποίηση προϊόντων πραγματοποιούνται μόνο μετά τη λήψη επίσημης άδειας από τις αρμόδιες αρχές».

Η κυκλοφορία του Hermit υπογραμμίζει μόνο ένα ευρύτερο ζήτημα: την ακμάζουσα βιομηχανία spyware και ψηφιακής επιτήρησης.

Την περασμένη εβδομάδα, η Google κατέθεσε κατά την ακρόαση της Εξεταστικής Επιτροπής του Ευρωπαϊκού Κοινοβουλίου σχετικά με τη χρήση του Pegasus και άλλου λογισμικού κατασκοπείας εμπορικής ποιότητας.

Η TAG παρακολουθεί επί του παρόντος περισσότερους από 30 προμηθευτές που προσφέρουν εκμεταλλεύσεις ή spyware σε οντότητες που υποστηρίζονται από την κυβέρνηση και σύμφωνα με Τσάρλι Σνάιντερ, Επικεφαλής Πολιτικής Κυβερνοασφάλειας στην Google, ενώ η χρήση τους μπορεί να είναι νόμιμη, «διαπιστώνεται συχνά ότι χρησιμοποιούνται από κυβερνήσεις για σκοπούς αντίθετους με τις δημοκρατικές αξίες: στόχευση αντιφρονούντων, δημοσιογράφων, εργαζομένων στα ανθρώπινα δικαιώματα και πολιτικών».

«Γι’ αυτό, όταν η Google ανακαλύπτει αυτές τις δραστηριότητες, όχι μόνο λαμβάνουμε μέτρα για την προστασία των χρηστών, αλλά αποκαλύπτουμε αυτές τις πληροφορίες δημόσια για να αυξήσουμε την ευαισθητοποίηση και να βοηθήσουμε το οικοσύστημα», σχολίασε ο Σνάιντερ. 

Προηγούμενη και σχετική κάλυψη

Έχετε μια συμβουλή; Επικοινωνήστε με την εταιρεία WhatsApp | Σήμανση στο +447713 025 499, ή πάνω στο Keybase: charlie0