28 iun. 2022 | 14:25

Cea mai nouă metodă de a fura date: ce este Hermit și de ce este extrem de periculos

ACTUALITATE
Cea mai nouă metodă de a fura date: ce este Hermit și de ce este extrem de periculos

Cercetătorii au descoperit utilizatori afectați în Italia și Kazahstan.

O campanie de spyware sofisticată primește ajutorul furnizorilor de servicii de internet (ISP) pentru a păcăli utilizatorii să descarce aplicații rău intenționate, potrivit cercetărilor publicate de Grupul de analiză a amenințărilor (TAG) de la Google. Acest lucru coroborează descoperirile anterioare ale grupului de cercetare în domeniul securității Lookout, care a legat programul spyware, numit Hermit, de furnizorul italian de programe spion RCS Labs.

Lookout spune că RCS Labs se află în aceeași linie de activitate ca NSO Group – infama companie de supraveghere din spatele programului spion Pegasus – și furnizează spyware comercial către diverse agenții guvernamentale. Cercetătorii de la Lookout cred că Hermit a fost deja folosit de guvernul Kazahstanului și de autoritățile italiene. În conformitate cu aceste constatări, Google a identificat victime în ambele țări și spune că va anunța utilizatorii afectați.

După cum este descris în raportul Lookout, Hermit este o amenințare modulară care poate descărca capabilități suplimentare de pe un server de comandă și control (C2). Acest lucru permite programului spyware să acceseze înregistrările apelurilor, locația, fotografiile și mesajele text de pe dispozitivul unei victime.

O problemă uriașă

Hermit este, de asemenea, capabil să înregistreze audio, să efectueze și să intercepteze apeluri telefonice, precum și să facă root pe un dispozitiv Android, ceea ce îi oferă control deplin asupra sistemului său de operare de bază.

Spyware-ul poate infecta atât Android-ul, cât și iPhone-urile, deghizându-se ca o sursă legitimă, luând de obicei forma unui operator de telefonie mobilă sau a unei aplicații de mesagerie.

Cercetătorii Google în domeniul securității cibernetice au descoperit că unii atacatori au lucrat de fapt cu furnizorii de servicii de internet pentru a opri datele mobile ale victimei pentru a-și promova schema.

Hackerii s-ar prezenta ca operatorul de telefonie mobilă al victimei prin SMS și ar păcăli utilizatorii să creadă că descărcarea aplicației le va restabili conectivitatea la internet. Dacă atacatorii nu au putut lucra cu un ISP, Google spune că s-au prezentat drept aplicații de mesagerie aparent autentice.

Cercetătorii de la Lookout și TAG spun că aplicațiile care conțin Hermit nu au fost niciodată disponibile prin Google Play sau Apple App Store. Cu toate acestea, atacatorii au reușit să distribuie aplicații infectate pe iOS prin înscrierea în programul Apple pentru dezvoltatori Enterprise. Acest lucru a permis hackerilor să ocolească procesul standard de verificare al App Store și să obțină un certificat care „satisface toate cerințele de semnare a codului iOS pe orice dispozitiv iOS”.