Detalye ng Google ang komersyal na spyware na nagta-target sa parehong mga Android at iOS device

Nagbabala ang Google tungkol sa isang enterprise-grade spyware strain na nagta-target sa mga user ng Android at iOS mobile device.

Ayon sa Google Threat Analysis Group (TAG) mga mananaliksik na sina Benoit Sevens at Clement Lecigne, pati na rin Project Zero, isang natatanging pamahalaan at enterprise-grade iOS at Android spyware na variant ay nasa aktibong sirkulasyon na ngayon.

Ang mga biktima ay matatagpuan sa Italya at Kazakhstan.

Ang spyware, na tinatawag na Hermit, ay modular surveillanceware. Pagkatapos suriin ang 16 sa 25 kilalang module, sinabi ng mga mananaliksik sa cybersecurity ng Lookout na susubukan ng malware na i-root ang mga device at may mga feature kabilang ang: pagre-record ng audio, pag-redirect o pagtawag sa telepono, pagnanakaw ng mga swathes ng impormasyon gaya ng mga SMS message, call log, listahan ng contact, larawan , at pag-exfiltrate ng data ng lokasyon ng GPS.

Pagsusuri ng Lookout, na-publish sa Hunyo 16, iminungkahi na ang spyware ay ipinadala sa pamamagitan ng mga nakakahamak na mensaheng SMS. Magkatulad ang konklusyon ng TAG, na may mga natatanging link na ipinadala sa isang target na nagpapanggap bilang mga mensaheng ipinadala ng isang internet service provider (ISP) o isang messaging application.

"Sa ilang mga kaso, naniniwala kaming nakipagtulungan ang mga aktor sa ISP ng target upang hindi paganahin ang pagkakakonekta ng mobile data ng target," sabi ng Google. "Kapag na-disable, magpapadala ang attacker ng malisyosong link sa pamamagitan ng SMS na humihiling sa target na mag-install ng application para mabawi ang kanilang data connectivity."

Ang Lookout team ay makakapag-secure lamang ng Android na bersyon ng Hermit, ngunit ngayon, ang kontribusyon ng Google ay nagdagdag ng sample ng iOS sa pagsisiyasat. Walang nakitang sample sa opisyal na Google o Apple app repository. Sa halip, ang spyware-laden apps ay na-download mula sa mga third-party na host.

Ang sample ng Android ay nangangailangan ng biktima na mag-download ng .APK pagkatapos payagan ang pag-install ng mobile apps mula sa hindi kilalang mga mapagkukunan. Nagkunwari ang malware bilang isang Samsung app at ginamit ang Firebase bilang bahagi ng command-and-control (C2) na imprastraktura nito.

"Habang ang APK mismo ay hindi naglalaman ng anumang mga pagsasamantala, ang code ay nagpapahiwatig ng pagkakaroon ng mga pagsasamantala na maaaring ma-download at maisagawa," sabi ng mga mananaliksik.

Inabisuhan ng Google ang mga user ng Android na naapektuhan ng app at gumawa ng mga pagbabago sa Google Play Protect upang protektahan ang mga user mula sa mga nakakahamak na aktibidad ng app. Bilang karagdagan, ang mga proyekto ng Firebase na nauugnay sa spyware ay hindi pinagana.

Ang sample ng iOS, na nilagdaan gamit ang isang certificate na nakuha mula sa Apple Developer Enterprise Program, ay naglalaman ng isang privilege escalation exploit na maaaring ma-trigger ng anim na mga kahinaan.

Habang apat (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) ay kilala, dalawa pa - CVE-2021-30883 at CVE-2021-30983 — ay pinaghihinalaang pinagsamantalahan sa ligaw bilang zero-days bago sila na-patch ng Apple noong Disyembre 2021. Binawi din ng tagagawa ng iPad at iPhone ang mga certificate na nauugnay sa Hermit campaign.

Sinabi ng Google at Lookout na ang spyware ay malamang na maiugnay sa RCS Lab, isang kumpanyang Italyano na gumagana mula noong 1993. 

Sinabi ng RCS Lab sa TechCrunch na ang kumpanya ay "nag-e-export ng mga produkto nito bilang pagsunod sa parehong pambansa at European na mga tuntunin at regulasyon," at "anumang pagbebenta o pagpapatupad ng mga produkto ay ginagawa lamang pagkatapos makatanggap ng opisyal na awtorisasyon mula sa mga karampatang awtoridad."

Ang sirkulasyon ng Hermit ay nagha-highlight lamang ng mas malawak na isyu: ang umuunlad na spyware at industriya ng digital surveillance.

Noong nakaraang linggo, nagpatotoo ang Google sa pagdinig ng EU Parliamentary Committee of Inquiry sa paggamit ng Pegasus at iba pang commercial-grade spyware.

Kasalukuyang sinusubaybayan ng TAG ang mahigit 30 vendor na nag-aalok ng mga pagsasamantala o spyware sa mga entity na sinusuportahan ng gobyerno, at ayon sa Charley Snyder, Pinuno ng Patakaran sa Cybersecurity sa Google, bagama't maaaring legal ang paggamit sa mga ito, "madalas silang nakikitang ginagamit ng mga pamahalaan para sa mga layuning kontra sa mga demokratikong halaga: pag-target sa mga dissidente, mamamahayag, manggagawa sa karapatang pantao at mga pulitiko."

“Kaya naman kapag nadiskubre ng Google ang mga aktibidad na ito, hindi lang kami gumagawa ng mga hakbang para protektahan ang mga user, ngunit ibinubunyag namin ang impormasyong iyon sa publiko upang mamulat at matulungan ang ecosystem,” komento ni Snyder. 

Nakaraan at nauugnay na saklaw

May tip? Makipag-ugnay sa ligtas sa pamamagitan ng WhatsApp | Pag-sign sa +447713 025 499, o higit sa Keybase: charlie0