Kas jums jāzina
- Google drošības pētnieki ir paziņojuši, ka daži interneta pakalpojumu sniedzēji ir palīdzējuši uzbrucējiem izplatīt spiegprogrammatūras kampaņu.
- Spiegprogrammatūra "Hermit" ir vērsta pret Android un iOS lietotājiem Itālijā un Kazahstānā, izmantojot ļaunprātīgas lejupielādes.
- Google uzstāj, ka spiegprogrammatūra nekad nav augšupielādēta Play veikalā.
Pirms dažām nedēļām galapunkta drošības pārdevējs Lookout publicēja savus secinājumus par spiegprogrammatūras kampaņu, ko valdības, iespējams, izmantojušas, lai nozagtu sensitīvus datus no lietotājiem Kazahstānā un Itālijā. Google tagad ir dublējis šo ziņojumu un izdevis brīdinājumu Android lietotājiem par "Hermit" spiegprogrammatūru.
Saskaņā ar Google Draudu analīzes grupa (TAG), valdības sadarbojās ar interneta pakalpojumu sniedzējiem (ISP) dažādās valstīs, lai izplatītu spiegprogrammatūru. Tiek uzskatīts, ka ļaunprogrammatūra spēj inficēt gan Android, gan iOS ierīces.
Hermit ir paredzēts, lai aizvilinātu nenojaušos lietotājus lejupielādēt ļaunprātīgas lietotnes. Tas notiek pēc tam, kad interneta pakalpojumu sniedzēji, vienojoties ar uzbrucējiem, izslēdz upuru datu savienojumu un pēc tam nosūta viņiem SMS, apgalvojot, ka viņu savienojums tiks atjaunots tikai tad, ja viņi lejupielādēs lietotni.
Ja šī taktika neizdosies, uzbrucēji maskēs spiegprogrammatūru kā likumīgu pakalpojumu, piemēram, mobilo sakaru operatoru vai ziņojumapmaiņas lietotni. Pēc instalēšanas mobilajā ierīcē Hermit lejupielādēs moduļus no komandu un vadības servera, lai iegūtu papildu iespējas.
Tas ļauj Hermit piekļūt lietotāju zvanu žurnāliem, atrašanās vietai, fotoattēliem un īsziņām. Spiegprogrammatūrai ir arī iespēja ierakstīt audio, pāradresēt tālruņa zvanus un sakņot Android ierīci, lai sniegtu uzbrucējiem pilnīgu kontroli.
Lookout saistīja draudus ar Itālijas programmatūras pārdevēju RCS Labs. Tomēr uzņēmums apgalvo, ka tas sniedz tikai tehnisko atbalstu valdības aģentūrām likumīgas pārtveršanas centienos, teikts tās tīmekļa vietnē.
Tomēr Lookout apraksta Itālijā bāzēto programmatūras uzņēmumu kā līdzīgu NSO Group, kas ir pazīstama ar savu Pegasus spiegprogrammatūru. Šī programma var likties pazīstama, jo tā ir izmantota aktīvistu, žurnālistu un politiķu izspiegošanai, izmantojot attālo viedtālruņa nulles klikšķu uzraudzību.
RCS Labs nekavējoties neatbildēja uz Android Central pieprasījumu komentēt. Bet tas stāstīja TechCrunch ka tā produkti atbilst "gan valsts, gan Eiropas noteikumiem un noteikumiem".
"Jebkura produktu pārdošana vai ieviešana tiek veikta tikai pēc oficiālas atļaujas saņemšanas no kompetentajām iestādēm," norādīja firma. "Mūsu produkti tiek piegādāti un uzstādīti apstiprinātu klientu telpās."
Lookout pētnieki ir identificējuši upurus Itālijā, Kazahstānā un Sīrijas ziemeļos. Google no savas puses ir apsolījis informēt lietotājus šajās valstīs, lai gan tas nenorādīja, cik cilvēku tas skar.
Gan Lookout, gan Google TAG uzstāj, ka lietotnes, kas inficētas ar Hermit, nekad nav nonākušas Google Play vai Apple App Store. Meklēšanas gigants ir izlaidis arī jaunu Google Play Protect atjauninājums, lai uzlabotu drošību visiem Android tālruņi.