Cosa hai bisogno di sapere
- I ricercatori di sicurezza di Google hanno affermato che alcuni fornitori di servizi Internet hanno aiutato gli aggressori a diffondere una campagna di spyware.
- Lo spyware "Hermit" ha preso di mira gli utenti Android e iOS in Italia e Kazakistan tramite download dannosi.
- Google insiste che lo spyware non è mai stato caricato sul Play Store.
Qualche settimana fa, Lookout, fornitore di sicurezza endpoint pubblicato i suoi risultati su una campagna spyware presumibilmente utilizzata dai governi per rubare dati sensibili da utenti in Kazakistan e in Italia. Google ha ora eseguito il backup di tale rapporto e ha emesso un avviso per gli utenti Android sullo spyware "Hermit".
Secondo Google Gruppo di analisi delle minacce (TAG), i governi hanno collaborato con i fornitori di servizi Internet (ISP) in vari paesi per diffondere lo spyware. Si ritiene che il malware sia in grado di infettare dispositivi Android e iOS.
Hermit è progettato per attirare utenti ignari nel download di app dannose. Ciò si verifica dopo che gli ISP, in collusione con gli aggressori, disattivano la connessione dati delle vittime e quindi inviano loro un SMS affermando che la loro connessione verrà ripristinata solo se scaricano un'app.
Se questa tattica fallisce, gli aggressori mascherano lo spyware come un servizio legittimo, come un gestore di telefonia mobile o un'app di messaggistica. Una volta installato in un dispositivo mobile, Hermit scaricherà quindi i moduli da un server di comando e controllo per ottenere funzionalità aggiuntive.
Ciò consente a Hermit di accedere ai registri delle chiamate, alla posizione, alle foto e ai messaggi di testo degli utenti. Lo spyware ha anche la capacità di registrare l'audio, reindirizzare le telefonate e eseguire il root di un dispositivo Android per dare agli aggressori il controllo completo.
Lookout ha collegato la minaccia al fornitore di software italiano RCS Labs. Detto questo, l'azienda afferma di fornire solo supporto tecnico alle agenzie governative negli sforzi di intercettazione legale, secondo il suo sito web.
Tuttavia, Lookout descrive la società di software con sede in Italia come simile a NSO Group, noto per il suo spyware Pegasus. Quel programma può sembrare familiare, poiché è stato utilizzato per spiare attivisti, giornalisti e politici tramite la sorveglianza remota dello smartphone senza clic.
RCS Labs non ha risposto immediatamente alla richiesta di commento di Android Central. Ma ha detto TechCrunch che i suoi prodotti sono conformi a "norme e regolamenti nazionali ed europei".
"Qualsiasi vendita o implementazione di prodotti viene eseguita solo dopo aver ricevuto un'autorizzazione ufficiale dalle autorità competenti", ha affermato l'azienda. "I nostri prodotti vengono consegnati e installati all'interno dei locali di clienti approvati."
I ricercatori di Lookout hanno identificato vittime in Italia, Kazakistan e nel nord della Siria. Google, da parte sua, ha promesso di avvisare gli utenti in questi paesi, anche se non ha specificato quante persone sono state colpite.
Sia Lookout che TAG di Google insistono sul fatto che le app infette da Hermit non sono mai arrivate su Google Play o Apple App Store. Il gigante della ricerca ha anche rilasciato un nuovo Google Play Proteggi aggiornamento per rafforzare la sicurezza per tutti Telefoni Android.