Što trebaš znati
- Googleovi sigurnosni istraživači rekli su da su neki pružatelji internetskih usluga pomogli napadačima u širenju špijunske kampanje.
- Špijunski softver "Hermit" ciljao je na Android i iOS korisnike u Italiji i Kazahstanu putem zlonamjernih preuzimanja.
- Google inzistira na tome da špijunski softver nikada nije učitan u Trgovinu Play.
Prije nekoliko tjedana, dobavljač sigurnosti krajnje točke Lookout objavio svoje nalaze o špijunskoj kampanji koju vlade navodno koriste za krađu osjetljivih podataka od korisnika u Kazahstanu i Italiji. Google je sada napravio sigurnosnu kopiju tog izvješća i izdao upozorenje korisnicima Androida o špijunskom softveru "Hermit".
Prema Googleovim Grupa za analizu prijetnji (TAG), vlade su surađivale s pružateljima internetskih usluga (ISP-ovi) u raznim zemljama na širenju špijunskog softvera. Smatra se da zlonamjerni softver može zaraziti i Android i iOS uređaje.
Hermit je dizajniran da namami korisnike koji ništa ne sumnjaju na preuzimanje zlonamjernih aplikacija. To se događa nakon što ISP-ovi, u dogovoru s napadačima, isključe podatkovnu vezu žrtava i zatim im pošalju SMS u kojem tvrde da će njihova veza biti uspostavljena samo ako preuzmu aplikaciju.
Ako ova taktika ne uspije, napadači će maskirati špijunski softver kao legitimnu uslugu, poput mobilnog operatera ili aplikacije za razmjenu poruka. Jednom instaliran na mobilni uređaj, Hermit će zatim preuzeti module s poslužitelja za naredbe i kontrolu kako bi dobio dodatne mogućnosti.
Ovo Hermitu omogućuje pristup zapisima poziva korisnika, lokaciji, fotografijama i tekstualnim porukama. Špijunski softver također ima mogućnost snimanja zvuka, preusmjeravanja telefonskih poziva i rootanja Android uređaja kako bi napadačima dao potpunu kontrolu.
Lookout je prijetnju povezao s talijanskim dobavljačem softvera RCS Labs. Ipak, tvrtka tvrdi da samo pruža tehničku podršku vladinim agencijama u pokušajima zakonitog presretanja, navodi se na njezinoj web stranici.
Međutim, Lookout opisuje softversku tvrtku sa sjedištem u Italiji kao sličnu NSO grupi, koja je poznata po svom špijunskom softveru Pegasus. Taj bi program mogao zvučati poznato jer se koristio za špijuniranje aktivista, novinara i političara putem daljinskog nadzora pametnog telefona bez klika.
RCS Labs nije odmah odgovorio na zahtjev Android Centrala za komentar. Ali reklo je TechCrunch da su njegovi proizvodi u skladu s "nacionalnim i europskim pravilima i propisima".
"Svaka prodaja ili implementacija proizvoda vrši se tek nakon dobivanja službenog odobrenja nadležnih tijela", poručuju iz tvrtke. "Naši se proizvodi isporučuju i instaliraju u prostorijama odobrenih kupaca."
Istraživači u Lookoutu identificirali su žrtve u Italiji, Kazahstanu i sjevernoj Siriji. Google je sa svoje strane obećao obavijestiti korisnike u tim zemljama, iako nije precizirao koliko je ljudi pogođeno.
I Lookout i Googleov TAG inzistiraju na tome da aplikacije zaražene Hermitom nikad nisu dospjele na Google Play ili Apple App Store. Pretraživački div također je objavio novu Google Play Protect ažurirajte kako biste poboljšali sigurnost za sve Android telefoni.