Τι πρέπει να ξέρετε
- Οι ερευνητές ασφαλείας της Google είπαν ότι ορισμένοι πάροχοι υπηρεσιών Διαδικτύου βοήθησαν τους εισβολείς να διαδώσουν μια εκστρατεία spyware.
- Το spyware «Hermit» έχει στοχεύσει χρήστες Android και iOS στην Ιταλία και το Καζακστάν μέσω κακόβουλων λήψεων.
- Η Google επιμένει ότι το spyware δεν ανέβηκε ποτέ στο Play Store.
Πριν από μερικές εβδομάδες, ο προμηθευτής ασφάλειας τελικού σημείου Lookout δημοσίευσε τα ευρήματά του σχετικά με μια εκστρατεία spyware που φέρεται να χρησιμοποιείται από τις κυβερνήσεις για την κλοπή ευαίσθητων δεδομένων από χρήστες στο Καζακστάν και την Ιταλία. Η Google έχει πλέον δημιουργήσει αντίγραφα ασφαλείας αυτής της αναφοράς και εξέδωσε μια προειδοποίηση στους χρήστες Android σχετικά με το λογισμικό κατασκοπείας "Hermit".
Σύμφωνα με την Google Ομάδα Ανάλυσης Απειλών (TAG), οι κυβερνήσεις συνεργάστηκαν με παρόχους υπηρεσιών Διαδικτύου (ISP) σε διάφορες χώρες για τη διάδοση του spyware. Το κακόβουλο λογισμικό θεωρείται ότι μπορεί να μολύνει συσκευές Android και iOS.
Το Hermit έχει σχεδιαστεί για να παρασύρει ανυποψίαστους χρήστες να κατεβάσουν κακόβουλες εφαρμογές. Αυτό συμβαίνει αφού οι ISP, σε συνεννόηση με τους εισβολείς, απενεργοποιήσουν τη σύνδεση δεδομένων των θυμάτων και στη συνέχεια τους στείλουν ένα SMS ισχυριζόμενο ότι η σύνδεσή τους θα αποκατασταθεί μόνο εάν κατεβάσουν μια εφαρμογή.
Εάν αυτή η τακτική αποτύχει, οι εισβολείς θα συγκαλύψουν το λογισμικό υποκλοπής spyware ως νόμιμη υπηρεσία, όπως μια εταιρεία κινητής τηλεφωνίας ή μια εφαρμογή ανταλλαγής μηνυμάτων. Μόλις εγκατασταθεί σε μια κινητή συσκευή, το Hermit θα κατεβάσει ενότητες από έναν διακομιστή εντολών και ελέγχου για να αποκτήσει πρόσθετες δυνατότητες.
Αυτό επιτρέπει στον Hermit να έχει πρόσβαση στα αρχεία καταγραφής κλήσεων, την τοποθεσία, τις φωτογραφίες και τα μηνύματα κειμένου των χρηστών. Το spyware έχει επίσης τη δυνατότητα να καταγράφει ήχο, να ανακατευθύνει τηλεφωνικές κλήσεις και να κάνει root μια συσκευή Android για να παρέχει στους εισβολείς απόλυτο έλεγχο.
Το Lookout συνέδεσε την απειλή με τον Ιταλό προμηθευτή λογισμικού RCS Labs. Τούτου λεχθέντος, η εταιρεία ισχυρίζεται ότι παρέχει τεχνική υποστήριξη μόνο σε κυβερνητικές υπηρεσίες σε νόμιμες προσπάθειες υποκλοπής, σύμφωνα με τον ιστότοπό της.
Ωστόσο, το Lookout περιγράφει την εταιρεία λογισμικού με έδρα την Ιταλία ως παρόμοια με την NSO Group, η οποία είναι γνωστή για το λογισμικό κατασκοπείας Pegasus. Αυτό το πρόγραμμα μπορεί να ακούγεται οικείο, καθώς έχει χρησιμοποιηθεί για την κατασκοπεία ακτιβιστών, δημοσιογράφων και πολιτικών μέσω απομακρυσμένης παρακολούθησης smartphone με μηδενικό κλικ.
Η RCS Labs δεν απάντησε αμέσως στο αίτημα του Android Central για σχολιασμό. Αλλά είπε TechCrunch ότι τα προϊόντα της συμμορφώνονται με τους «εθνικούς και ευρωπαϊκούς κανόνες και κανονισμούς».
«Οποιαδήποτε πώληση ή υλοποίηση προϊόντων πραγματοποιείται μόνο μετά τη λήψη επίσημης εξουσιοδότησης από τις αρμόδιες αρχές», ανέφερε η εταιρεία. «Τα προϊόντα μας παραδίδονται και εγκαθίστανται εντός των εγκαταστάσεων εγκεκριμένων πελατών».
Ερευνητές στο Lookout εντόπισαν θύματα στην Ιταλία, το Καζακστάν και τη βόρεια Συρία. Η Google, από την πλευρά της, έχει υποσχεθεί να ειδοποιήσει τους χρήστες σε αυτές τις χώρες, αν και δεν διευκρίνισε πόσα άτομα επηρεάστηκαν.
Τόσο το Lookout όσο και το TAG της Google επιμένουν ότι οι εφαρμογές που έχουν μολυνθεί με Hermit δεν μπήκαν ποτέ στο Google Play ή στο Apple App Store. Ο γίγαντας της αναζήτησης κυκλοφόρησε επίσης ένα νέο Google Play Protect ενημέρωση για να ενισχύσει την ασφάλεια για όλους Τηλέφωνα Android.