Amit tudnod kell
- A Google biztonsági kutatói azt mondták, hogy egyes internetszolgáltatók segítettek a támadóknak spyware kampányt terjeszteni.
- A "Remete" spyware az Android és az iOS felhasználókat célozta meg Olaszországban és Kazahsztánban rosszindulatú letöltésekkel.
- A Google ragaszkodik ahhoz, hogy a kémprogramot soha nem töltötték fel a Play Áruházba.
Néhány héttel ezelőtt a végponti biztonsági gyártó Lookout közzétette megállapításait egy kémprogram-kampányról, amelyet állítólag a kormányok használnak arra, hogy érzékeny adatokat lopjanak el kazahsztáni és olaszországi felhasználóktól. A Google most biztonsági másolatot készített erről a jelentésről, és figyelmeztetést adott ki az Android-felhasználóknak a "Remete" spyware miatt.
A Google szerint Veszélyelemző csoport (TAG) szerint a kormányok együttműködtek internetszolgáltatókkal (ISP) különböző országokban a kémprogramok terjesztésében. Úgy gondolják, hogy a kártevő Android és iOS eszközöket is képes megfertőzni.
A Hermit célja, hogy rávegye a gyanútlan felhasználókat rosszindulatú alkalmazások letöltésére. Ez azután történik, hogy az internetszolgáltatók a támadókkal összejátszva kikapcsolják az áldozatok adatkapcsolatát, majd SMS-t küldenek nekik, amelyben azt állítják, hogy kapcsolatuk csak akkor áll helyre, ha letöltenek egy alkalmazást.
Ha ez a taktika kudarcot vall, a támadók legitim szolgáltatásnak, például mobilszolgáltatónak vagy üzenetküldő alkalmazásnak álcázzák a kémprogramot. Miután telepítették a mobileszközre, a Hermit letölti a modulokat egy parancs- és vezérlőszerverről, hogy további képességeket szerezzen.
Ez lehetővé teszi a Hermit számára, hogy hozzáférjen a felhasználók hívásnaplóihoz, tartózkodási helyéhez, fényképeihez és szöveges üzeneteihez. A spyware emellett képes hangot rögzíteni, átirányítani a telefonhívásokat, és rootolni egy Android-eszközt, hogy teljes irányítást biztosítson a támadóknak.
A Lookout az olasz RCS Labs szoftvergyártóhoz kapcsolta a fenyegetést. Ennek ellenére a cég azt állítja, hogy csak technikai támogatást nyújt a kormányzati szerveknek a törvényes lehallgatási erőfeszítésekben.
A Lookout azonban úgy írja le az olaszországi szoftvercéget, mint az NSO Group-ot, amely a Pegasus spyware-jéről ismert. Ez a program ismerősen hangozhat, mivel aktivisták, újságírók és politikusok kémkedésére használták távoli, nulla kattintásos okostelefon-felügyeleten keresztül.
Az RCS Labs nem reagált azonnal az Android Central megjegyzéskérésére. De elmondta TechCrunch hogy termékei megfelelnek „a nemzeti és európai szabályoknak és előírásoknak egyaránt”.
"A termékek értékesítése vagy bevezetése csak az illetékes hatóságok hivatalos engedélyének megszerzése után történik" - közölte a cég. "Termékeinket a jóváhagyott vásárlók telephelyén szállítjuk és telepítjük."
A Lookout kutatói Olaszországban, Kazahsztánban és Észak-Szíriában azonosítottak áldozatokat. A Google a maga részéről megígérte, hogy értesíti a felhasználókat ezekben az országokban, bár nem részletezte, hogy hány embert érintett.
Mind a Lookout, mind a Google TAG azt állítja, hogy a Hermittel fertőzött alkalmazások soha nem kerültek be a Google Play vagy az Apple App Store áruházba. A keresőóriás egy újat is kiadott Google Play Protect frissítés, hogy mindenki biztonságát fokozza Android telefonok.