Google разоблачает поразительное итальянское шпионское ПО Hermit, атакующее Android и iOS

Google разоблачает шпионское ПО итальянского отшельника
Вредоносное программное обеспечение, широко известное как вредоносное ПО, является одной из многих угроз как для кибербезопасности , так и для конфиденциальности. Киберпреступники могут распространять вредоносное ПО для достижения различных целей, в том числе для вывода средств из криптовалютных кошельков, кражи учетных данных или создания бот-сетей. Однако киберпреступники не единственные, кто использует различные формы вредоносных программ. Многие государственные субъекты используют вредоносное ПО, будь то для ведения кибервойны или ведения наблюдения. Некоторые правительства специально нацеливают шпионское ПО на журналистов, активистов и других диссидентов, чтобы отслеживать их местонахождение и действия.

Технологические фирмы, такие как NSO Group разрабатывать шпионское ПО и продавать его государственным субъектам в рамках закона. Эти группы утверждают, что шпионское ПО предназначено только для использования уполномоченными государственными органами, но недавняя история, похоже, показывает, что непреднамеренные субъекты сумели развернуть такого рода шпионское ПО. В прошлом году расследование показало, что шпионское ПО Pegasus от NSO Group заразило телефоны как минимум девяти сотрудников Государственного департамента США, что побудило NSO Group начать собственное расследование использования своего шпионского ПО.

Теперь группа анализа угроз Google (TAG) обнаружила другую шпионскую кампанию, нацеленную на пользователей Android и iOS в Италии и Казахстане. Исследователи из Lookout Threat Lab назвали эту шпионскую программу «Hermit» и приписали ее итальянскому поставщику шпионского ПО RCS Labs. RCS гордится тем, что является «ведущим европейским поставщиком полных услуг законного перехвата». Шпионское ПО Hermit использовалось и раньше, но эта новая кампания отличается особенно тревожной тактикой.

Google разоблачает итальянскую шпионскую программу-отшельника
Полный список разрешений, получаемых шпионской программой Hermit на Android (источник: Google )

TAG Google считает, что участники этой последней шпионской кампании Hermit работали с поставщиками интернет-услуг (ISP) целей, чтобы временно отключить мобильную передачу данных на телефонах целей. Затем злоумышленники отправляли целевым объектам SMS-сообщения с указаниями посетить веб-сайты и установить приложения, которые восстанавливают мобильные данные. Эти приложения имитировали приложения мобильных операторов, но содержали шпионское ПО Hermit. Субъекты этой кампании также распространяли шпионское ПО Hermit в приложениях, представленных как инструменты для восстановления учетных записей для распространенных приложений для обмена сообщениями, включая WhatsApp.

Эти вредоносные приложения никогда не были доступны в Google Play . Store или Apple App Store, но вместо этого были загружены с веб-сайтов, контролируемых злоумышленниками. После установки вредоносные приложения для iOS использовали не менее шести различных уязвимостей безопасности, в том числе два эксплойта нулевого дня. Вредоносные приложения для Android, с другой стороны, сами напрямую не использовали какие-либо уязвимости, но запрашивали доступ к большому количеству разрешений, как показано выше, и обменивались данными с серверами управления и контроля (C2) злоумышленников. Приложения для Android могут извлекать дополнительные вредоносные полезные нагрузки с серверов C2 и устанавливать их на зараженные устройства.

Google отреагировал на эту шпионскую кампанию, предупредив все устройства Android . жертв, внедряя изменения Google Play Protect и отключая проекты Firebase Cloud Messaging, которые использовались в качестве серверов C2. Хотя мы до сих пор не знаем, кто стоял за этой шпионской кампанией, все веб-сайты, которые распространяли вредоносные приложения, с тех пор были закрыты, так что, надеюсь, кампания на данный момент завершена.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал