Согласно исследованию, опубликованному Группой анализа угроз Google (TAG) (через TechCrunch), интернет-провайдеры (ISP) прибегают к помощи изощренной шпионской кампании, чтобы обманом заставить пользователей загружать вредоносные приложения. Это подтверждает более ранние выводы исследовательской группы по безопасности Lookout, которая связала шпионское ПО, получившее название Hermit, с итальянским поставщиком шпионских программ RCS Labs.
Lookout говорит, что RCS Labs работает в том же направлении, что и NSO Group — печально известная компания по найму, занимающаяся слежкой за шпионскими программами Pegasus, — и продает коммерческие шпионские программы различным правительственным учреждениям. Исследователи Lookout считают, что Hermit уже был развернут правительством Казахстана и итальянскими властями. В соответствии с этими выводами Google выявила жертв в обеих странах и заявила, что уведомит пострадавших пользователей.
Как описано в отчете Lookout, Hermit представляет собой модульную угрозу, которая может загружать дополнительные возможности с сервера управления и контроля (C2). Это позволяет шпионскому ПО получать доступ к записям звонков, местоположению, фотографиям и текстовым сообщениям на устройстве жертвы. Hermit также может записывать аудио, совершать и перехватывать телефонные звонки, а также выполнять root-доступ к устройству Android, что дает ему полный контроль над его основной операционной системой.
Приложения, содержащие Hermit, никогда не были доступны через Google Play или Apple App Store
Шпионское ПО может заразить как Android, так и iPhone, маскируясь под законный источник, обычно принимая форму мобильного оператора или приложения для обмена сообщениями. Исследователи кибербезопасности Google обнаружили, что некоторые злоумышленники на самом деле работали с интернет-провайдерами, чтобы отключить мобильные данные жертвы для продолжения своей схемы. Затем злоумышленники будут выдавать себя за оператора мобильной связи жертвы по SMS и обманывать пользователей, заставляя их поверить, что загрузка вредоносного приложения восстановит их подключение к Интернету. Если злоумышленники не могли работать с интернет-провайдером, Google утверждает, что они выдавали себя за, казалось бы, подлинные приложения для обмена сообщениями, которые они обманом заставляли пользователей загружать.
Исследователи из Lookout и TAG говорят, что приложения, содержащие Hermit, никогда не были доступны через Google Play или Apple App Store. Однако злоумышленники смогли распространять зараженные приложения на iOS, зарегистрировавшись в корпоративной программе Apple для разработчиков. Это позволило злоумышленникам обойти стандартный процесс проверки App Store и получить сертификат, который “удовлетворяет всем требованиям подписи кода iOS на любых устройствах iOS”.
Apple сообщила The Verge, что с тех пор отозвала все учетные записи или сертификаты, связанные с этой угрозой. В дополнение к уведомлению затронутых пользователей Google также распространила обновление Google Play Protect для всех пользователей.