Google подробно описывает коммерческое шпионское ПО, нацеленное на устройства Android и iOS

Google предупредил о шпионском ПО корпоративного уровня, нацеленном на пользователей мобильных устройств Android и iOS.

По Группа анализа угроз Google (TAG) исследователи Бенуа Севенс и Клемент Лесинь, а также Project Zero, отдельный вариант шпионского ПО для iOS и Android правительственного и корпоративного уровня сейчас находится в активном обращении.

Жертвы были обнаружены в Италии и Казахстане.

Шпионское ПО, получившее название Hermit, представляет собой модульное ПО для наблюдения. Проанализировав 16 из 25 известных модулей, исследователи кибербезопасности Lookout заявили, что вредоносное ПО попытается рутировать устройства и имеет такие функции, как запись звука, перенаправление или совершение телефонных звонков, кража информации, такой как SMS-сообщения, журналы вызовов, списки контактов, фотографии. и извлечение данных GPS о местоположении.

Анализ Lookout, опубликованный Июнь 16, предположил, что шпионское ПО рассылается через вредоносные SMS-сообщения. Вывод TAG аналогичен: уникальные ссылки, отправленные цели, маскируются под сообщения, отправленные поставщиком интернет-услуг (ISP) или приложением для обмена сообщениями.

«В некоторых случаях мы полагаем, что злоумышленники сотрудничали с интернет-провайдером жертвы, чтобы отключить ее мобильную передачу данных», — говорится в сообщении Google. «После отключения злоумышленник отправляет вредоносную ссылку через SMS с просьбой установить приложение для восстановления подключения к данным».

Команда Lookout смогла защитить только версию Hermit для Android, но теперь Google добавила к расследованию образец для iOS. Ни один из образцов не был найден в официальных репозиториях приложений Google или Apple. Вместо этого шпионское ПО apps были загружены со сторонних хостов.

Образец Android требует, чтобы жертва загрузила .APK после разрешения установки мобильного приложения. apps из неизвестных источников. Вредоносное ПО маскировалось под приложение Samsung и использовало Firebase как часть своей инфраструктуры управления и контроля (C2).

«Хотя сам APK не содержит каких-либо эксплойтов, код намекает на наличие эксплойтов, которые можно загрузить и выполнить», — говорят исследователи.

Google уведомил пользователей Android, затронутых приложением, и внес изменения в Google Play Protect, чтобы защитить пользователей от вредоносных действий приложения. Кроме того, проекты Firebase, связанные со шпионским ПО, были отключены.

Образец iOS, подписанный сертификатом, полученным от Apple Developer Enterprise Program, содержал эксплойт для повышения привилегий, который мог быть вызван шестью уязвимостями.

Пока четыре (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) были известны, два других — CVE-2021-30883 и CVE-2021-30983 — подозревались в использовании в дикой природе как нулевые дни, прежде чем Apple исправила их в декабре 2021 года. Производитель iPad и iPhone также отозвал сертификаты, связанные с кампанией Hermit.

Google и Lookout говорят, что шпионское ПО, скорее всего, связано с RCS Lab, итальянской компанией, работающей с 1993 года. 

Лаборатория RCS сообщила TechCrunch что фирма «экспортирует свою продукцию в соответствии как с национальными, так и с европейскими правилами и положениями» и «любая продажа или реализация продукции осуществляется только после получения официального разрешения от компетентных органов».

Распространение Hermit лишь выдвигает на первый план более широкую проблему: процветающую индустрию шпионского ПО и цифрового наблюдения.

На прошлой неделе Google дал показания на слушаниях в Комитете по расследованию парламента ЕС по поводу использования Pegasus и другого коммерческого шпионского ПО.

В настоящее время TAG отслеживает более 30 поставщиков, предлагающих эксплойты или шпионское ПО организациям, поддерживаемым государством. Чарли Снайдер, руководитель отдела политики кибербезопасности в Google, хотя их использование может быть законным, «часто обнаруживается, что они используются правительствами в целях, противоречащих демократическим ценностям: против диссидентов, журналистов, правозащитников и политиков».

«Вот почему, когда Google обнаруживает эти действия, мы не только предпринимаем шаги для защиты пользователей, но и раскрываем эту информацию публично, чтобы повысить осведомленность и помочь экосистеме», — прокомментировал Снайдер. 

Предыдущее и связанное с этим покрытие

У вас есть подсказка? Безопасно войти в контакт через WhatsApp | Сигнал на + 447713 025 499 или более на базе ключей: charlie0