Wat je moet weten
- Beveiligingsonderzoekers van Google hebben gezegd dat sommige internetproviders aanvallers hebben geholpen bij het verspreiden van een spywarecampagne.
- De "Hermit"-spyware heeft zich via kwaadaardige downloads gericht op Android- en iOS-gebruikers in Italië en Kazachstan.
- Google houdt vol dat de spyware nooit naar de Play Store is geüpload.
Een paar weken geleden, end-point security leverancier Lookout zijn bevindingen gepubliceerd over een spywarecampagne die naar verluidt door regeringen is gebruikt om gevoelige gegevens van gebruikers in Kazachstan en Italië te stelen. Google heeft nu een back-up gemaakt van dat rapport en een waarschuwing afgegeven aan Android-gebruikers over de "Hermit"-spyware.
Volgens Google Groep voor dreigingsanalyse (TAG) werkten overheden samen met internetserviceproviders (ISP's) in verschillende landen om de spyware te verspreiden. Aangenomen wordt dat de malware zowel Android- als iOS-apparaten kan infecteren.
Hermit is ontworpen om nietsvermoedende gebruikers te verleiden tot het downloaden van kwaadaardige apps. Dit gebeurt nadat ISP's, in samenspraak met de aanvallers, de dataverbinding van de slachtoffers uitschakelen en hen vervolgens een sms sturen waarin wordt beweerd dat hun verbinding alleen wordt hersteld als ze een app downloaden.
Als deze tactiek mislukt, zullen de aanvallers de spyware vermommen als een legitieme service, zoals een mobiele provider of een berichten-app. Eenmaal geïnstalleerd op een mobiel apparaat, downloadt Hermit vervolgens modules van een commando- en controleserver om extra mogelijkheden te krijgen.
Hierdoor heeft Hermit toegang tot de oproeplogboeken, locatie, foto's en sms-berichten van de gebruikers. De spyware heeft ook de mogelijkheid om audio op te nemen, telefoongesprekken om te leiden en een Android-apparaat te rooten om aanvallers volledige controle te geven.
Lookout bracht de dreiging in verband met de Italiaanse softwareleverancier RCS Labs. Dat gezegd hebbende, beweert het bedrijf volgens zijn website alleen technische ondersteuning te bieden aan overheidsinstanties bij legale onderscheppingsinspanningen.
Lookout beschrijft het in Italië gevestigde softwarebedrijf echter als vergelijkbaar met NSO Group, dat bekend staat om zijn Pegasus-spyware. Dat programma klinkt misschien bekend in de oren, omdat het is gebruikt om activisten, journalisten en politici te bespioneren via remote zero-click smartphone-surveillance.
RCS Labs reageerde niet onmiddellijk op het verzoek om commentaar van Android Central. Maar het vertelde TechCrunch dat haar producten voldoen aan "zowel nationale als Europese wet- en regelgeving".
"Elke verkoop of implementatie van producten wordt alleen uitgevoerd na ontvangst van een officiële toestemming van de bevoegde autoriteiten", aldus het bedrijf. "Onze producten worden geleverd en geïnstalleerd bij goedgekeurde klanten."
Onderzoekers van Lookout hebben slachtoffers geïdentificeerd in Italië, Kazachstan en Noord-Syrië. Google van zijn kant heeft beloofd gebruikers in deze landen op de hoogte te stellen, hoewel het niet specificeerde hoeveel mensen werden getroffen.
Zowel Lookout als Google's TAG houden vol dat apps die zijn geïnfecteerd met Hermit nooit de Google Play of Apple App Store hebben bereikt. De zoekgigant heeft ook een nieuwe uitgebracht Google Play Protect update om de beveiliging voor iedereen te verbeteren Android-telefoons.