Какво трябва да знаете
- Изследователите по сигурността на Google казаха, че някои доставчици на интернет услуги са помогнали на нападателите да разпространят кампания за шпионски софтуер.
- Шпионският софтуер „Hermit“ е насочен към потребителите на Android и iOS в Италия и Казахстан чрез злонамерени изтегляния.
- Google настоява, че шпионският софтуер никога не е бил качен в Play Store.
Преди няколко седмици доставчикът на сигурност на крайната точка Lookout публикува констатациите си за шпионска кампания, за която се твърди, че се използва от правителствата за кражба на чувствителни данни от потребители в Казахстан и Италия. Сега Google направи резервно копие на този доклад и издаде предупреждение към потребителите на Android за шпионския софтуер „Hermit“.
Според Google Група за анализ на заплахи (TAG), правителствата си сътрудничиха с доставчици на интернет услуги (ISP) в различни страни за разпространение на шпионския софтуер. Смята се, че злонамереният софтуер може да зарази както устройства с Android, така и iOS.
Hermit е предназначен да примами нищо неподозиращите потребители да изтеглят злонамерени приложения. Това се случва, след като интернет доставчиците, в тайно споразумение с нападателите, изключат връзката за данни на жертвите и след това им изпращат SMS, в който се твърди, че връзката им ще бъде възстановена само ако изтеглят приложение.
Ако тази тактика се провали, нападателите ще маскират шпионския софтуер като легитимна услуга, като например мобилен оператор или приложение за съобщения. Веднъж инсталиран в мобилно устройство, Hermit ще изтегли модули от команден и контролен сървър, за да получи допълнителни възможности.
Това позволява на Hermit да има достъп до дневниците на обажданията, местоположението, снимките и текстовите съобщения на потребителите. Шпионският софтуер също има способността да записва аудио, да пренасочва телефонни обаждания и да руутва устройство с Android, за да даде пълен контрол на нападателите.
Lookout свързва заплахата с италианския доставчик на софтуер RCS Labs. Въпреки това фирмата твърди, че предоставя само техническа поддръжка на правителствени агенции при законни усилия за прихващане, според нейния уебсайт.
Lookout обаче описва базираната в Италия софтуерна фирма като подобна на NSO Group, която е известна със своя шпионски софтуер Pegasus. Тази програма може да звучи познато, тъй като е била използвана за шпиониране на активисти, журналисти и политици чрез дистанционно наблюдение на смартфон с нулево кликване.
RCS Labs не отговори веднага на искането на Android Central за коментар. Но каза TechCrunch че продуктите му отговарят на „както националните, така и европейските правила и разпоредби“.
„Всякаква продажба или внедряване на продукти се извършва само след получаване на официално разрешение от компетентните органи“, казаха от фирмата. „Нашите продукти се доставят и монтират в помещенията на одобрени клиенти.“
Изследователи от Lookout са идентифицирали жертви в Италия, Казахстан и Северна Сирия. Google от своя страна обеща да уведоми потребителите в тези страни, но не уточни колко хора са засегнати.
И Lookout, и TAG на Google настояват, че приложенията, заразени с Hermit, никога не са стигали до Google Play или Apple App Store. Гигантът за търсене също пусна нов Google Play Protect актуализация за повишаване на сигурността за всички телефони с Android.