Co potřebuješ vědět
- Bezpečnostní výzkumníci Googlu uvedli, že někteří poskytovatelé internetových služeb pomohli útočníkům rozšířit spywarovou kampaň.
- Spyware "Hermit" se zaměřoval na uživatele Android a iOS v Itálii a Kazachstánu prostřednictvím škodlivého stahování.
- Google trvá na tom, že spyware nebyl nikdy nahrán do Obchodu Play.
Před několika týdny dodavatel zabezpečení koncových bodů Lookout zveřejnila svá zjištění o spywarové kampani, kterou údajně využívaly vlády k odcizení citlivých dat od uživatelů v Kazachstánu a Itálii. Google nyní tuto zprávu zálohoval a varoval uživatele Androidu před spywarem „Hermit“.
Podle Google Skupina analýzy hrozeb (TAG), vlády spolupracovaly s poskytovateli internetových služeb (ISP) v různých zemích na šíření spywaru. Předpokládá se, že malware je schopen infikovat zařízení Android i iOS.
Hermit je navržen tak, aby nalákal nic netušící uživatele ke stažení škodlivých aplikací. K tomu dochází poté, co poskytovatelé internetových služeb ve spolupráci s útočníky vypnou obětem datové připojení a poté jim pošlou SMS s tvrzením, že jejich připojení bude obnoveno, pouze pokud si stáhnou aplikaci.
Pokud tato taktika selže, útočníci zamaskují spyware jako legitimní službu, jako je mobilní operátor nebo aplikace pro zasílání zpráv. Po instalaci do mobilního zařízení Hermit stáhne moduly z příkazového a řídicího serveru, aby získal další možnosti.
To Hermitovi umožňuje přístup k protokolům hovorů, umístění, fotografiím a textovým zprávám uživatelů. Spyware má také schopnost nahrávat zvuk, přesměrovat telefonní hovory a rootovat zařízení Android, aby útočníkům poskytl úplnou kontrolu.
Lookout spojil hrozbu s italským dodavatelem softwaru RCS Labs. To znamená, že firma tvrdí, že poskytuje pouze technickou podporu vládním agenturám v rámci zákonného odposlechu, podle jejích webových stránek.
Lookout však popisuje italskou softwarovou firmu jako podobnou NSO Group, která je známá svým spywarem Pegasus. Tento program může znít povědomě, protože byl používán ke špehování aktivistů, novinářů a politiků prostřednictvím vzdáleného sledování smartphonu bez kliknutí.
Společnost RCS Labs okamžitě neodpověděla na žádost Android Central o komentář. Ale řeklo to TechCrunch že její produkty splňují „jak národní, tak evropské předpisy a předpisy“.
"Jakýkoli prodej nebo implementace produktů se provádí pouze po obdržení oficiálního povolení od příslušných orgánů," uvedla firma. "Naše produkty jsou dodávány a instalovány v prostorách schválených zákazníků."
Vědci z Lookout identifikovali oběti v Itálii, Kazachstánu a severní Sýrii. Google ze své strany slíbil, že bude uživatele v těchto zemích informovat, ale neupřesnil, kolik lidí se to dotklo.
Lookout i Google TAG trvají na tom, že aplikace infikované Hermitem se nikdy nedostaly do Google Play nebo Apple App Store. Vyhledávací gigant také vydal nový Google Play Protect aktualizace pro posílení bezpečnosti pro všechny telefony se systémem Android.