Согласно данным, изощренная шпионская кампания получает помощь от интернет-провайдеров (ISP), чтобы заставить пользователей загружать вредоносные приложения. исследование, опубликованное Группой анализа угроз Google (ТЕГ) (через TechCrunch). Это подтверждает ранее выводы исследовательской группы по безопасности Lookoutкоторая связала шпионское ПО под названием Hermit с итальянским поставщиком шпионского ПО RCS Labs.
Lookout сообщает, что RCS Labs работает в том же направлении, что и NSO Group. печально известная компания по найму, стоящая за шпионским ПО Pegasus — и продает коммерческое шпионское ПО различным правительственным агентствам. Исследователи из Lookout считают, что Hermit уже используется правительством Казахстана и властями Италии. В соответствии с этими выводами Google выявил жертв в обеих странах и заявляет, что уведомит пострадавших пользователей.
Как описано в отчете Lookout, Hermit представляет собой модульную угрозу, которая может загружать дополнительные возможности с сервера управления и контроля (C2). Это позволяет шпионскому ПО получать доступ к записям звонков, местоположению, фотографиям и текстовым сообщениям на устройстве жертвы. Hermit также может записывать аудио, совершать и перехватывать телефонные звонки, а также получать root права на устройство Android, что дает ему полный контроль над основной операционной системой.
Шпионское ПО может заражать как Android, так и iPhone, маскируя себя под законный источник, обычно принимая форму оператора мобильной связи или приложения для обмена сообщениями. Исследователи кибербезопасности Google обнаружили, что некоторые злоумышленники действительно работали с интернет-провайдерами, чтобы отключить мобильные данные жертвы для реализации своей схемы. Злоумышленники затем выдавали себя за оператора мобильной связи жертвы с помощью SMS и обманывали пользователей, заставляя их поверить в то, что загрузка вредоносного приложения восстановит их подключение к Интернету. По словам Google, если злоумышленники не могли работать с интернет-провайдером, они выдавали себя за подлинные приложения для обмена сообщениями, которые обманным путем заставляли пользователей загружать.
Исследователи из Lookout и TAG говорят, что приложения, содержащие Hermit, никогда не были доступны в Google Play или Apple App Store. Однако злоумышленники смогли распространять зараженные приложения на iOS, зарегистрировавшись в программе Apple Developer Enterprise Program. Это позволило злоумышленникам обойти стандартный процесс проверки в App Store и получить сертификат, который «удовлетворяет всем требованиям подписи кода iOS на любых устройствах iOS».
Apple рассказала Грань что с тех пор он отозвал все учетные записи или сертификаты, связанные с угрозой. Помимо уведомления затронутых пользователей, Google также выпустила обновление Google Play Protect для всех пользователей.
