Google details commercial spyware that targets both Android and iOS devices

Google heeft gewaarschuwd voor een enterprise-grade spyware-stam die zich richt op gebruikers van mobiele Android- en iOS-apparaten.

Think Google Dreigingsanalysegroep (TAG) onderzoekers Benoit Sevens en Clement Lecigne, evenals Project Zero, is een aparte spywarevariant voor iOS en Android van overheids- en bedrijfsniveau nu actief in omloop.

Slachtoffers zijn gelokaliseerd in Italië en Kazachstan.

De spyware, genaamd Hermit, is modulaire surveillanceware. Na analyse van 16 van de 25 bekende modules, zeiden cybersecurity-onderzoekers van Lookout dat de malware zal proberen apparaten te rooten en functies heeft zoals: audio opnemen, omleiden of bellen, het stelen van informatie zoals sms-berichten, oproeplogboeken, contactlijsten, foto's en het exfiltreren van GPS-locatiegegevens.

Analyse van Lookout, gepubliceerd in juni 16, suggereerde dat de spyware wordt verzonden via kwaadaardige sms-berichten. De conclusie van TAG is vergelijkbaar, met unieke links die naar een doel worden gestuurd, vermomd als berichten van een internetprovider (ISP) of een berichtentoepassing.

"In sommige gevallen denken we dat de actoren samenwerkten met de ISP van het doelwit om de mobiele dataverbinding van het doelwit uit te schakelen", zegt Google. "Eenmaal uitgeschakeld, stuurt de aanvaller een kwaadaardige link via sms waarin het doelwit wordt gevraagd een applicatie te installeren om hun dataconnectiviteit te herstellen."

Het Lookout-team kon alleen een Android-versie van Hermit veiligstellen, maar nu heeft de bijdrage van Google een iOS-voorbeeld aan het onderzoek toegevoegd. Geen van beide monsters is gevonden in officiële Google- of Apple-app-repository's. In plaats daarvan, de spyware-geladen apps zijn gedownload van externe hosts.

Het Android-voorbeeld vereist dat een slachtoffer een .APK downloadt nadat hij de installatie van mobiel heeft toegestaan apps uit onbekende bronnen. De malware vermomde zich als een Samsung-app en gebruikte Firebase als onderdeel van zijn command-and-control (C2)-infrastructuur.

"Hoewel de APK zelf geen exploits bevat, wijst de code op de aanwezigheid van exploits die kunnen worden gedownload en uitgevoerd", zeggen de onderzoekers.

Google heeft Android-gebruikers op de hoogte gebracht die door de app zijn getroffen en heeft wijzigingen aangebracht in Google Play Protect om gebruikers te beschermen tegen de schadelijke activiteiten van de app. Bovendien zijn de Firebase-projecten die aan de spyware zijn gekoppeld, uitgeschakeld.

Het iOS-voorbeeld, ondertekend met een certificaat verkregen van het Apple Developer Enterprise Program, bevatte een misbruik van privilege-escalatie dat kon worden geactiveerd door zes kwetsbaarheden.

Terwijl vier (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) waren bekend, twee andere — CVE-2021-30883 en CVE-2021-30983 - werden ervan verdacht in het wild te zijn uitgebuit als zero-days voordat Apple ze in december 2021 patchte. De iPad- en iPhone-maker heeft ook de certificaten ingetrokken die verband houden met de Hermit-campagne.

Google en Lookout zeggen dat de spyware waarschijnlijk te wijten is aan RCS Lab, een Italiaans bedrijf dat actief is sinds 1993. 

RCS Lab vertelde TechCrunch dat het bedrijf "zijn producten exporteert in overeenstemming met zowel nationale als Europese regels en voorschriften", en "elke verkoop of implementatie van producten alleen wordt uitgevoerd na ontvangst van een officiële toestemming van de bevoegde autoriteiten."

De verspreiding van Hermit belicht alleen een breder probleem: de bloeiende spyware- en digitale bewakingsindustrie.

Vorige week getuigde Google tijdens de hoorzitting van de parlementaire onderzoekscommissie van de EU over het gebruik van Pegasus en andere commerciële spyware.

TAG volgt momenteel meer dan 30 leveranciers die exploits of spyware aanbieden aan door de overheid gesteunde entiteiten. Charley Snijder, Head of Cybersecurity Policy bij Google, hoewel het gebruik ervan legaal kan zijn, "worden ze vaak door regeringen gebruikt voor doeleinden die haaks staan ​​op democratische waarden: het aanvallen van dissidenten, journalisten, mensenrechtenactivisten en politici."

"Daarom nemen we, wanneer Google deze activiteiten ontdekt, niet alleen stappen om gebruikers te beschermen, maar maken we die informatie openbaar om het bewustzijn te vergroten en het ecosysteem te helpen", aldus Snyder. 

Eerdere en gerelateerde dekking

Heeft u een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 of hoger op Keybase: charlie499