Google beskriver kommersiella spionprogram som riktar sig till både Android- och iOS-enheter

Google har varnat för en spionprogramstam av företagsklass som riktar sig mot användare av mobila Android- och iOS-enheter.

Enligt Googles grupp för hotanalys (TAG) forskarna Benoit Sevens och Clement Lecigne, samt Project Zero, en distinkt statlig och företagsklassad spionprogramvariant för iOS och Android är nu i aktiv cirkulation.

Offren har hittats i Italien och Kazakstan.

Spionprogrammet, kallat Hermit, är modulärt övervakningsprogram. Efter att ha analyserat 16 av 25 kända moduler sa Lookout cybersäkerhetsforskare att skadlig programvara kommer att försöka rota enheter och har funktioner inklusive: spela in ljud, omdirigera eller ringa telefonsamtal, stjäla delar av information som SMS-meddelanden, samtalsloggar, kontaktlistor, foton och exfiltrerande GPS-platsdata.

Lookouts analys, publicerad 16 juni, föreslog att spionprogrammet skickas via skadliga SMS-meddelanden. TAGs slutsats är liknande, med unika länkar som skickas till ett mål som maskerar sig som meddelanden skickade av en internetleverantör (ISP) eller en meddelandeapplikation.

"I vissa fall tror vi att aktörerna arbetade med målets internetleverantör för att inaktivera målets mobildataanslutning", säger Google. "När den inaktiverats skickade angriparen en skadlig länk via SMS och bad målet att installera en applikation för att återställa sin dataanslutning."

Lookout-teamet kunde bara säkra en Android-version av Hermit, men nu har Googles bidrag lagt till ett iOS-exempel till utredningen. Inget av proverna hittades i officiella Google- eller Apple-appförråd. Istället spionprogram-laddade apps laddades ner från tredjepartsvärdar.

Android-exemplet kräver att ett offer laddar ner en .APK efter att ha tillåtit installationen av mobilen apps från okända källor. Skadlig programvara förklädde sig som en Samsung-app och använde Firebase som en del av sin kommando-och-kontroll-infrastruktur (C2).

"Medan själva APK-filen inte innehåller några exploateringar, antyder koden förekomsten av exploateringar som kan laddas ner och köras", säger forskarna.

Google har meddelat Android-användare som påverkas av appen och gjort ändringar i Google Play Protect för att skydda användare från appens skadliga aktiviteter. Dessutom har Firebase-projekten kopplade till spionprogrammet inaktiverats.

IOS-exemplet, signerat med ett certifikat som erhållits från Apple Developer Enterprise Program, innehöll en privilegieupptrappning som kunde utlösas av sex sårbarheter.

Medan fyra (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) var kända, två andra - CVE-2021-30883 och CVE-2021-30983 — misstänktes för att ha utnyttjats i naturen som noll dagar innan Apple patchade dem i december 2021. iPad- och iPhone-tillverkaren har också återkallat certifikaten förknippade med Eremitkampanjen.

Google och Lookout säger att spionprogrammet sannolikt kan tillskrivas RCS Lab, ett italienskt företag i drift sedan 1993. 

RCS Lab berättade för TechCrunch att företaget "exporterar sina produkter i enlighet med både nationella och europeiska regler och förordningar", och "all försäljning eller implementering av produkter utförs först efter att ha fått ett officiellt tillstånd från de behöriga myndigheterna."

Hermits cirkulation belyser bara en bredare fråga: den blomstrande spionprograms- och digitala övervakningsindustrin.

Förra veckan vittnade Google vid EU:s parlamentariska undersökningskommittés utfrågning om användningen av Pegasus och andra kommersiella spionprogram.

TAG spårar för närvarande över 30 leverantörer som erbjuder exploits eller spionprogram till statligt stödda enheter, och enligt Charley Snyder, chef för cybersäkerhetspolicy på Google, även om användningen av dem kan vara laglig, "visas de ofta användas av regeringar för syften som strider mot demokratiska värderingar: riktar sig mot oliktänkande, journalister, människorättsarbetare och politiker."

"Det är därför vi när Google upptäcker dessa aktiviteter inte bara vidtar åtgärder för att skydda användarna, utan avslöjar den informationen offentligt för att öka medvetenheten och hjälpa ekosystemet", kommenterade Snyder. 

Tidigare och relaterad täckning


Har du ett tips? Ta säkert kontakt via WhatsApp | Signal på +447713 025 499 eller över vid Keybase: charlie0




Källa