За даними підрозділу Google Threat Analysis Group (TAG), уряди деяких країн за підтримки інтернет-провайдерів запустили шпигунську кампанію. В результаті на мобільні пристрої користувачів встановлюються шкідливі програми для відстеження їх дій. Тим самим TAG підтверджує попередні висновки дослідницької групи з безпеки Lookout, яка пов’язала шпигунське програмне забезпечення під назвою Hermit з італійською компанією RCS Labs.
Як стверджує Lookout, RCS Labs працює в тому ж напрямку, що і NSO Group (розробник шпигунського ПЗ Pegasus), і продає комерційне шпигунське ПЗ різним урядовим установам. Дослідники з Lookout вважають, що Hermit вже використовується урядом Казахстану та владою Італії. Google виявила жертв в обох країнах і заявляє, що повідомить постраждалих користувачів.
Hermit – це модульна шкідлива програма, яка може завантажувати додаткові компоненти з сервера керування та контролю. Шпигунське програмне забезпечення може отримувати доступ до записів дзвінків, розташування, фотографій та текстових повідомлень на пристрої жертви. Hermit також може записувати аудіо, здійснювати та перехоплювати телефонні дзвінки, а також отримувати root права на Android-пристрої, що дає повний контроль над операційною системою.
Шпигунське програмне забезпечення може заражати як Android-смартфони, так і iPhone, маскуючись під програми оператора мобільного зв’язку або сервіси для обміну повідомленнями. Дослідники кібербезпеки Google виявили, що деякі зловмисники для реалізації своєї схеми працювали з інтернет-провайдерами, щоб вимкнути передачу мобільних даних жертви. Потім зловмисники видавали себе за мобільного оператора жертви за допомогою SMS та обманним шляхом змушували жертв завантажувати шкідливі програми, які нібито мали відновити підключення до інтернету. Якщо зловмисники не могли працювати з інтернет-провайдером, вони видавали своє шкідливе програмне забезпечення за справжні програми для обміну повідомленнями та змушували користувачів завантажувати їх обманним шляхом.
Дослідники з Lookout і TAG кажуть, що програми, що містять Hermit, ніколи не були доступні в Google Play або Apple App Store. Проте зловмисники змогли поширювати заражені програми на iOS, зареєструвавшись у програмі Apple Developer Enterprise Program. Це дозволило зловмисникам обійти стандартний процес перевірки в App Store та отримати сертифікат, який «задовольняє всі вимоги підпису коду iOS на будь-яких пристроях iOS».
Apple повідомила, що вона анулювала всі облікові записи або сертифікати, пов’язані із цією загрозою. Google, крім повідомлення користувачів, також випустила оновлення Google Play Protect, яке повинно убезпечити всіх користувачів платформи.
Джерело: The Verge