Google повідомляє про комерційне шпигунське програмне забезпечення, яке націлено як на пристрої Android, так і на iOS

Компанія Google попередила про наявність шпигунського програмного забезпечення корпоративного рівня, націленого на користувачів мобільних пристроїв Android та iOS.

За оцінками Група аналізу загроз Google (TAG) дослідники Бенуа Сівенс і Клеман Лесінь, а також Project Zero, окремий варіант шпигунського програмного забезпечення для iOS та Android для державних та корпоративних пристроїв зараз активно розповсюджується.

Жертви знаходяться в Італії та Казахстані.

Шпигунське програмне забезпечення, назване Hermit, є модульним програмним забезпеченням для спостереження. Проаналізувавши 16 з 25 відомих модулів, дослідники кібербезпеки Lookout заявили, що зловмисне програмне забезпечення намагатиметься вкорінити пристрої та має такі функції, як: запис аудіо, перенаправлення або здійснення телефонних дзвінків, крадіжка такої інформації, як SMS-повідомлення, журнали викликів, списки контактів, фотографії. , а також вилучення даних про місцезнаходження GPS.

Аналіз Lookout, опублікований червня 16, припустив, що шпигунське програмне забезпечення надсилається через шкідливі SMS-повідомлення. Висновок TAG подібний: унікальні посилання, надіслані цільовому об’єкту, маскуються під повідомлення, надіслані постачальником послуг Інтернету (ISP) або програмою обміну повідомленнями.

«У деяких випадках ми вважаємо, що учасники працювали з провайдером цільового Інтернету, щоб відключити мобільне підключення цілі», – каже Google. «Після вимкнення зловмисник надсилатиме шкідливе посилання через SMS із проханням встановити програму, щоб відновити підключення до даних».

Команда Lookout могла забезпечити лише версію Hermit для Android, але тепер внесок Google додав зразок iOS до розслідування. Жоден зразок не знайдено в офіційних сховищах програм Google або Apple. Натомість, навантажений шпигунським ПЗ apps були завантажені зі сторонніх хостів.

Зразок Android вимагає від жертви завантажити .APK після дозволу встановлення мобільного пристрою apps з невідомих джерел. Шкідливе програмне забезпечення замаскувалося під програму Samsung і використовувало Firebase як частину своєї інфраструктури командно-контролю (C2).

«Хоча сам APK не містить жодних експлойтів, код натякає на наявність експлойтів, які можна завантажити та виконати», — кажуть дослідники.

Google сповістила користувачів Android, на яких впливає додаток, і внесла зміни в Google Play Protect, щоб захистити користувачів від шкідливих дій програми. Крім того, проекти Firebase, пов’язані зі шпигунським ПЗ, були вимкнені.

Зразок iOS, підписаний сертифікатом, отриманим від Apple Developer Enterprise Program, містив експлойт підвищення привілеїв, який міг бути викликаний шістьма вразливими місцями.

Поки чотири (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) були відомі, ще двоє — CVE-2021-30883 та CVE-2021-30983 — підозрювали в експлуатації в дикій природі за нуль днів до того, як Apple виправила їх у грудні 2021 року. Виробник iPad і iPhone також відкликав сертифікати, пов’язані з кампанією Hermit.

Google і Lookout кажуть, що шпигунське програмне забезпечення, ймовірно, пов’язане з RCS Lab, італійською компанією, яка працює з 1993 року. 

RCS Lab повідомили TechCrunch що фірма «експортує свою продукцію відповідно до національних та європейських правил і правил», а «будь-який продаж або впровадження продукції здійснюється лише після отримання офіційного дозволу від компетентних органів».

Тираж Hermit висвітлює лише ширшу проблему: процвітаючу індустрію шпигунського програмного забезпечення та цифрового спостереження.

Минулого тижня Google свідчив на слуханнях Комітету Європарламенту щодо використання Pegasus та інших шпигунських програм комерційного рівня.

Наразі TAG відстежує понад 30 постачальників, які пропонують експлойти або шпигунське програмне забезпечення державним установам, і відповідно Чарлі Снайдер, керівник відділу політики кібербезпеки в Google, хоча їх використання може бути законним, «часто виявляється, що вони використовуються урядами в цілях, протилежних демократичним цінностям: націлені на дисидентів, журналістів, правозахисників і політиків».

«Ось чому, коли Google виявляє ці дії, ми не лише вживаємо заходів для захисту користувачів, а й розкриваємо цю інформацію публічно, щоб підвищити обізнаність та допомогти екосистемі», – прокоментував Снайдер. 

Попереднє та пов’язане покриття

Маєте підказку? Безпечно зв’яжіться з WhatsApp | Сигнал за номером +447713 025 499 або на Keybase: charlie0