Kaj morate vedeti
- Googlovi varnostni raziskovalci so povedali, da so nekateri ponudniki internetnih storitev pomagali napadalcem razširiti kampanjo vohunske programske opreme.
- Vohunska programska oprema "Hermit" je z zlonamernimi prenosi ciljala na uporabnike Android in iOS v Italiji in Kazahstanu.
- Google vztraja, da vohunska programska oprema ni bila nikoli naložena v trgovino Play.
Pred nekaj tedni je prodajalec varnosti končne točke Lookout objavil svoje ugotovitve o kampanji vohunske programske opreme, ki naj bi jo vlade uporabljale za krajo občutljivih podatkov uporabnikov v Kazahstanu in Italiji. Google je zdaj podprl to poročilo in uporabnikom Androida izdal opozorilo o vohunski programski opremi "Hermit".
Glede na Googlove Skupina za analizo groženj (TAG) so vlade sodelovale s ponudniki internetnih storitev (ISP) v različnih državah za širjenje vohunske programske opreme. Zlonamerna programska oprema naj bi lahko okužila naprave Android in iOS.
Hermit je zasnovan tako, da nič hudega sluteče uporabnike zvabi v prenos zlonamernih aplikacij. To se zgodi, ko ponudniki internetnih storitev v dogovoru z napadalci izklopijo podatkovno povezavo žrtev in jim nato pošljejo SMS, v katerem trdijo, da bo njihova povezava obnovljena le, če prenesejo aplikacijo.
Če ta taktika ne uspe, bodo napadalci vohunsko programsko opremo prikrili kot zakonito storitev, kot je mobilni operater ali aplikacija za sporočanje. Po namestitvi v mobilno napravo bo Hermit nato prenesel module s strežnika za ukaze in nadzor, da pridobi dodatne zmogljivosti.
To omogoča Hermitu dostop do uporabnikovih dnevnikov klicev, lokacije, fotografij in besedilnih sporočil. Vohunska programska oprema ima tudi možnost snemanja zvoka, preusmerjanja telefonskih klicev in rootanja naprave Android, da napadalcem zagotovi popoln nadzor.
Lookout je grožnjo povezal z italijanskim prodajalcem programske opreme RCS Labs. Kljub temu podjetje trdi, da zagotavlja le tehnično podporo vladnim agencijam pri prizadevanjih za zakonito prestrezanje, piše na njegovi spletni strani.
Vendar pa Lookout opisuje italijansko programsko podjetje kot podobno skupini NSO Group, ki je znana po svoji vohunski programski opremi Pegasus. Ta program se morda sliši znano, saj so ga uporabljali za vohunjenje za aktivisti, novinarji in politiki prek oddaljenega nadzora pametnega telefona brez klika.
RCS Labs ni takoj odgovoril na prošnjo Android Central za komentar. Ampak je povedalo TechCrunch da so njegovi izdelki v skladu z "nacionalnimi in evropskimi pravili in predpisi."
"Vsaka prodaja ali realizacija izdelkov se izvaja šele po prejemu uradnega dovoljenja pristojnih organov," pravijo v družbi. "Naši izdelki so dostavljeni in nameščeni v prostorih odobrenih strank."
Raziskovalci pri Lookoutu so identificirali žrtve v Italiji, Kazahstanu in severni Siriji. Google je s svoje strani obljubil, da bo obvestil uporabnike v teh državah, čeprav ni navedel, koliko ljudi je bilo prizadetih.
Tako Lookout kot Googlov TAG vztrajata, da aplikacije, okužene s Hermitom, nikoli niso prišle v Google Play ali Apple App Store. Iskalni velikan je izdal tudi novo Google Play Protect posodobitev za večjo varnost za vse Android telefoni.