Google beskriver kommersiell spionvare som er rettet mot både Android- og iOS-enheter

Google har advart om en spionvarebelastning i bedriftsklasse som er rettet mot brukere av Android- og iOS-mobilenheter.

Ifølge Googles gruppe for trusselanalyse (TAG) forskere Benoit Sevens og Clement Lecigne, samt Project Zero, en distinkt regjerings- og enterprise-grade iOS- og Android-spywarevariant er nå i aktiv sirkulasjon.

Ofrene har blitt lokalisert i Italia og Kasakhstan.

Spionprogrammet, kalt Hermit, er modulært overvåkingsprogram. Etter å ha analysert 16 av 25 kjente moduler, sa Lookout cybersecurity-forskere at skadevaren vil prøve å rote enheter og har funksjoner inkludert: opptak av lyd, omdirigere eller foreta telefonsamtaler, stjele deler av informasjon som SMS-meldinger, anropslogger, kontaktlister, bilder , og eksfiltrerende GPS-posisjonsdata.

Lookouts analyse, publisert på juni 16, antydet at spionvaren sendes via ondsinnede SMS-meldinger. TAGs konklusjon er lik, med unike lenker sendt til et mål som maskerer seg som meldinger sendt av en internettleverandør (ISP) eller en meldingsapplikasjon.

"I noen tilfeller tror vi at aktørene jobbet med målets ISP for å deaktivere målets mobildatatilkobling," sier Google. "Når de er deaktivert, ville angriperen sende en ondsinnet lenke via SMS og be målet om å installere en applikasjon for å gjenopprette datatilkoblingen."

Lookout-teamet kunne bare sikre seg en Android-versjon av Hermit, men nå har Googles bidrag lagt til et iOS-eksempel til etterforskningen. Ingen av prøvene ble funnet i offisielle Google- eller Apple-applagre. I stedet spyware-ladet apps ble lastet ned fra tredjepartsverter.

Android-eksemplet krever at et offer laster ned en .APK etter å ha tillatt installasjon av mobil apps fra ukjente kilder. Skadevaren forkledde seg som en Samsung-app og brukte Firebase som en del av kommando-og-kontroll-infrastrukturen (C2).

"Selv om APK-en i seg selv ikke inneholder noen utnyttelser, antyder koden tilstedeværelsen av utnyttelser som kan lastes ned og utføres," sier forskerne.

Google har varslet Android-brukere som er berørt av appen og gjort endringer i Google Play Protect for å beskytte brukere mot appens ondsinnede aktiviteter. I tillegg har Firebase-prosjektene knyttet til spionvaren blitt deaktivert.

iOS-eksemplet, signert med et sertifikat hentet fra Apple Developer Enterprise Program, inneholdt en privilegieeskaleringsutnyttelse som kunne utløses av seks sårbarheter.

Mens fire (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) var kjent, to andre - CVE-2021-30883 og CVE-2021-30983 — ble mistenkt for å bli utnyttet i naturen som null dager før Apple lappet dem i desember 2021. iPad- og iPhone-produsenten har også tilbakekalt sertifikatene knyttet til Hermit-kampanjen.

Google og Lookout sier at spionvaren sannsynligvis kan tilskrives RCS Lab, et italiensk selskap i drift siden 1993. 

RCS Lab fortalte TechCrunch at firmaet "eksporterer produktene sine i samsvar med både nasjonale og europeiske regler og forskrifter," og "alt salg eller implementering av produkter utføres kun etter å ha mottatt en offisiell tillatelse fra kompetente myndigheter."

Hermits sirkulasjon fremhever bare et bredere problem: den blomstrende spionvare- og digital overvåkingsindustrien.

I forrige uke vitnet Google på EU-parlamentariske granskningskomités høring om bruken av Pegasus og andre kommersielle spionprogrammer.

TAG sporer for tiden over 30 leverandører som tilbyr utnyttelser eller spionprogrammer til myndighetsstøttede enheter, og iht. Charley Snyder, leder for nettsikkerhetspolitikk hos Google, selv om bruken av dem kan være lovlig, "viser de ofte at de blir brukt av regjeringer til formål som står i motsetning til demokratiske verdier: rettet mot dissidenter, journalister, menneskerettighetsarbeidere og politikere."

"Det er derfor når Google oppdager disse aktivitetene, tar vi ikke bare skritt for å beskytte brukere, men avslører denne informasjonen offentlig for å øke bevisstheten og hjelpe økosystemet," kommenterte Snyder. 

Tidligere og relatert dekning

Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0