По данным подразделения Google Threat Analysis Group (TAG), правительства некоторых стран при поддержке интернет-провайдеров запустили шпионскую кампанию. В результате на мобильные устройства пользователей устанавливаются вредоносные приложения для отслеживания их действий. Тем самым TAG подтверждает предыдущие выводы исследовательской группы по безопасности Lookout, которая связала шпионское ПО под названием Hermit с итальянской компанией RCS Labs.
Как утверждает Lookout, RCS Labs работает в том же направлении, что и NSO Group (разработчик шпионского ПО Pegasus), и продаёт коммерческое шпионское ПО различным правительственным учреждениям. Исследователи из Lookout считают, что Hermit уже используется правительством Казахстана и властями Италии. Google выявила жертв в обеих странах и заявляет, что уведомит пострадавших пользователей.
Hermit — это модульная вредоносная программа, которая может загружать дополнительные компоненты с сервера управления и контроля. Шпионское ПО может получать доступ к записям звонков, местоположению, фотографиям и текстовым сообщениям на устройстве жертвы. Hermit также может записывать аудио, совершать и перехватывать телефонные звонки, а также получать root права на Android-устройстве, что даёт полный контроль над операционной системой.
Шпионское ПО может заражать как Android-смартфоны, так и iPhone, маскируясь под приложения оператора мобильной связи или сервисы для обмена сообщениями. Исследователи кибербезопасности Google обнаружили, что некоторые злоумышленники для реализации своей схемы работали с интернет-провайдерами, чтобы отключить передачу мобильных данных жертвы. Затем злоумышленники выдавали себя за мобильного оператора жертвы с помощью SMS и обманным путём заставляли жертв загружать вредоносные приложения, которые якобы должны были восстановить подключение к интернету. Если злоумышленники не могли работать с интернет-провайдером, они выдавали своё вредоносное ПО за подлинные приложения для обмена сообщениями и заставляли пользователей загружать их обманным путём.
Исследователи из Lookout и TAG говорят, что содержащие Hermit приложения никогда не были доступны в Google Play или Apple App Store. Однако злоумышленники смогли распространять зараженные приложения на iOS, зарегистрировавшись в программе Apple Developer Enterprise Program. Это позволило злоумышленникам обойти стандартный процесс проверки в App Store и получить сертификат, который «удовлетворяет всем требованиям подписи кода iOS на любых устройствах iOS».
Apple сообщила, что она аннулировала все учетные записи или сертификаты, связанные с этой угрозой. Google помимо уведомления пострадавших пользователей также выпустила обновление Google Play Protect, которое должно обезопасить всех пользователей платформы.
Источник: The Verge