Google detalla el software espía comercial que se dirige a dispositivos Android e iOS

Google ha advertido sobre una cepa de spyware de nivel empresarial dirigida a los usuarios de dispositivos móviles Android e iOS.

Según la Grupo de análisis de amenazas de Google (TAG) los investigadores Benoit Sevens y Clement Lecigne, así como Project Zero, una variante distinta de spyware para iOS y Android de nivel empresarial y gubernamental ahora está en circulación activa.

Las víctimas han sido localizadas en Italia y Kazajstán.

El software espía, denominado Hermit, es un software de vigilancia modular. Después de analizar 16 de los 25 módulos conocidos, los investigadores de seguridad cibernética de Lookout dijeron que el malware intentará rootear los dispositivos y tiene características que incluyen: grabar audio, redirigir o hacer llamadas telefónicas, robar grandes cantidades de información como mensajes SMS, registros de llamadas, listas de contactos, fotos. y extrayendo datos de ubicación GPS.

Análisis de Lookout, publicado En Junio ​​16, sugirió que el software espía se envía a través de mensajes SMS maliciosos. La conclusión de TAG es similar, con enlaces únicos enviados a un objetivo disfrazados de mensajes enviados por un proveedor de servicios de Internet (ISP) o una aplicación de mensajería.

“En algunos casos, creemos que los actores trabajaron con el ISP del objetivo para deshabilitar la conectividad de datos móviles del objetivo”, dice Google. “Una vez deshabilitado, el atacante enviaría un enlace malicioso a través de SMS pidiéndole al objetivo que instale una aplicación para recuperar su conectividad de datos”.

El equipo de Lookout solo pudo asegurar una versión de Android de Hermit, pero ahora, la contribución de Google ha agregado una muestra de iOS a la investigación. Ninguna muestra se encontró en los repositorios oficiales de aplicaciones de Google o Apple. En cambio, la cargada de spyware apps se descargaron de hosts de terceros.

La muestra de Android requiere que la víctima descargue un .APK después de permitir la instalación del móvil apps de fuentes desconocidas. El malware se disfrazó como una aplicación de Samsung y usó Firebase como parte de su infraestructura de comando y control (C2).

“Si bien el APK en sí no contiene ningún exploit, el código sugiere la presencia de exploits que podrían descargarse y ejecutarse”, dicen los investigadores.

Google notificó a los usuarios de Android afectados por la aplicación y realizó cambios en Google Play Protect para proteger a los usuarios de las actividades maliciosas de la aplicación. Además, los proyectos de Firebase asociados con el software espía se han deshabilitado.

La muestra de iOS, firmada con un certificado obtenido del Apple Developer Enterprise Program, contenía un exploit de escalada de privilegios que podía ser activado por seis vulnerabilidades.

Mientras que cuatro (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) eran conocidos, otros dos — CVE-2021-30883 y CVE-2021-30983 – eran sospechosos de ser explotados en la naturaleza como días cero antes de que Apple los parcheara en diciembre de 2021. El fabricante de iPad y iPhone también revocó los certificados asociados con la campaña Ermitaño.

Google y Lookout dicen que es probable que el software espía se deba a RCS Lab, una empresa italiana en funcionamiento desde 1993. 

RCS Lab le dijo a TechCrunch que la empresa “exporta sus productos de conformidad con las normas y reglamentos nacionales y europeos”, y “cualquier venta o implementación de productos se realiza solo después de recibir una autorización oficial de las autoridades competentes”.

La circulación de Hermit solo destaca un problema más amplio: la próspera industria del spyware y la vigilancia digital.

La semana pasada, Google testificó en la audiencia del Comité Parlamentario de Investigación de la UE sobre el uso de Pegasus y otro software espía de grado comercial.

Actualmente, TAG está rastreando a más de 30 proveedores que ofrecen exploits o spyware a entidades respaldadas por el gobierno y, según charley snyder, Jefe de Política de Seguridad Cibernética de Google, si bien su uso puede ser legal, "a menudo se descubre que los gobiernos los utilizan con fines antitéticos a los valores democráticos: apuntar a disidentes, periodistas, trabajadores de derechos humanos y políticos".

“Es por eso que cuando Google descubre estas actividades, no solo tomamos medidas para proteger a los usuarios, sino que divulgamos esa información públicamente para crear conciencia y ayudar al ecosistema”, comentó Snyder. 

Cobertura previa y relacionada

¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal en + 447713 025 499, o más en Keybase: charlie0