O que você precisa saber
- Os pesquisadores de segurança do Google disseram que alguns provedores de serviços de Internet ajudaram os invasores a espalhar uma campanha de spyware.
- O spyware "Hermit" tem como alvo usuários de Android e iOS na Itália e no Cazaquistão por meio de downloads maliciosos.
- O Google insiste que o spyware nunca foi carregado na Play Store.
Algumas semanas atrás, o fornecedor de segurança de endpoint Lookout publicou suas descobertas sobre uma campanha de spyware supostamente usada por governos para roubar dados confidenciais de usuários no Cazaquistão e na Itália. O Google agora apoiou esse relatório e emitiu um aviso aos usuários do Android sobre o spyware "Hermit".
De acordo com o Google Grupo de Análise de Ameaças (TAG), os governos colaboraram com provedores de serviços de Internet (ISPs) em vários países para disseminar o spyware. Acredita-se que o malware seja capaz de infectar dispositivos Android e iOS.
O Hermit foi projetado para atrair usuários desavisados a baixar aplicativos maliciosos. Isso ocorre depois que os ISPs, em conluio com os invasores, desligam a conexão de dados das vítimas e enviam um SMS alegando que a conexão só será restaurada se eles baixarem um aplicativo.
Se essa tática falhar, os invasores disfarçarão o spyware como um serviço legítimo, como uma operadora de celular ou aplicativo de mensagens. Uma vez instalado em um dispositivo móvel, o Hermit baixará os módulos de um servidor de comando e controle para obter recursos adicionais.
Isso permite que o Hermit acesse os registros de chamadas, localização, fotos e mensagens de texto dos usuários. O spyware também tem a capacidade de gravar áudio, redirecionar chamadas telefônicas e fazer root em um dispositivo Android para dar aos invasores controle total.
A Lookout vinculou a ameaça ao fornecedor italiano de software RCS Labs. Dito isso, a empresa afirma que apenas fornece suporte técnico a agências governamentais em esforços de interceptação legal, de acordo com seu site.
No entanto, a Lookout descreve a empresa de software com sede na Itália como semelhante ao NSO Group, conhecido por seu spyware Pegasus. Esse programa pode parecer familiar, pois tem sido usado para espionar ativistas, jornalistas e políticos por meio de vigilância remota de smartphone com clique zero.
O RCS Labs não respondeu imediatamente ao pedido de comentário do Android Central. Mas disse TechCrunch que seus produtos cumprem "regras e regulamentos nacionais e europeus".
"Qualquer venda ou implementação de produtos só é realizada após receber uma autorização oficial das autoridades competentes", disse a empresa. "Nossos produtos são entregues e instalados nas instalações de clientes aprovados."
Pesquisadores da Lookout identificaram vítimas na Itália, Cazaquistão e norte da Síria. O Google, por sua vez, prometeu notificar os usuários desses países, embora não tenha especificado quantas pessoas foram afetadas.
Tanto a Lookout quanto a TAG do Google insistem que os aplicativos infectados com o Hermit nunca chegaram ao Google Play ou à Apple App Store. O gigante das buscas também lançou um novo Google Play Protect atualização para reforçar a segurança para todos telefones Android.