Google казва, че доставчиците на интернет услуги са помогнали на нападателите да заразят целенасочени смартфони със шпионски софтуер Hermit

Седмица след като стана ясно, че сложен мобилен шпионски софтуер, наречен Hermit, е бил използван от правителството на Казахстан в неговите граници, Google заяви, че е уведомила потребителите на Android за заразени устройства.

Освен това са въведени необходимите промени в Google Play Protect – Вградената услуга за защита от злонамерен софтуер на Android – за защита на всички потребители, Benoit Sevens и Clement Lecigne от Google Threat Analysis Group (TAG) казах в доклад в четвъртък.

Hermit, дело на италиански доставчик на име RCS Lab, беше документирано от Lookout миналата седмица, изтъквайки неговия модулен набор от функции и способностите му да събира чувствителна информация като дневници на обажданията, контакти, снимки, точно местоположение и SMS съобщения.

След като заплахата се е проникнала напълно в устройството, то също така е оборудвано да записва аудио и да извършва и пренасочва телефонни разговори, освен че злоупотребява с разрешенията си за услуги за достъпност на Android, за да следи различни приложения на преден план, използвани от жертвите.

Неговата модулност също му позволява да бъде напълно персонализиран, като оборудва функционалността на шпионския софтуер да бъде разширявана или променяна по желание. Не е ясно кои са били насочени в кампанията или кои от клиентите на RCS Lab са били замесени.

Базираната в Милано компания, която работи от 1993 г. искове да предостави на „правоприлагащите органи по целия свят авангардни технологични решения и техническа подкрепа в областта на законното прихващане за повече от двадесет години“. Твърди се, че над 10 000 заловени цели се обработват ежедневно само в Европа.

„Hermit е още един пример за използване на цифрово оръжие за насочване към цивилни и техните мобилни устройства и данните, събрани от участващите злонамерени страни, със сигурност ще бъдат безценни“, каза Ричард Мелик, директор за докладване на заплахи за Zimperium.

Телефоните на мишените са заразени с шпионския инструмент чрез изтегляне чрез drive-by като първоначални вектори на инфекция, което от своя страна включва изпращане на уникална връзка в SMS съобщение, което при щракване активира веригата за атака.

Предполага се, че актьорите са работили в сътрудничество с доставчиците на интернет услуги (ISP) на целите, за да деактивират тяхната мобилна връзка за данни, последвано от изпращане на SMS, който призовава получателите да инсталират приложение за възстановяване на достъпа до мобилни данни.

„Вярваме, че това е причината повечето приложения да се маскират като приложения на мобилни оператори“, казаха изследователите. “Когато участието на ISP не е възможно, приложенията се маскират като приложения за съобщения.”

За да компрометира потребителите на iOS, противникът е разчитал на предоставяне на профили, които позволяват на фалшиви брандирани приложения да бъдат зареждани отстрани на устройствата, без да е необходимо те да са налични в App Store.

Google

Анализ на iOS версията на приложението показва, че то използва до шест експлойта – CVE-2018-4344,, CVE-2019-8605,, CVE-2020-3837,, CVE-2020-9907,, CVE-2021-30883и CVE-2021-30983 – за ексфилтриране на файлове, представляващи интерес, като бази данни WhatsApp, от устройството.

„Тъй като кривата бавно се измества към по-скъпата експлоатация на корупцията на паметта, вероятно и нападателите се изместват“, Иън Биър от Google Project Zero казах в задълбочен анализ на артефакт на iOS, който се представя за приложението на оператора My Vodafone.

Кибер защита

В Android атаките за управление чрез drive-by изискват жертвите да активират настройка за инсталиране на приложения на трети страни от неизвестни източници, което води до измамното приложение, маскирано като марки смартфони като Samsung, изискващо обширни разрешения за постигане на своите злонамерени цели.

Вариантът на Android, освен че се опитва да изкорени устройството за утвърден достъп, също е свързан по различен начин, тъй като вместо да обединява експлойти в APK файла, той съдържа функционалност, която му позволява да извлича и изпълнява произволни отдалечени компоненти, които могат да комуникират с основното приложение.

„Тази кампания е добро напомняне, че нападателите не винаги използват експлойти, за да постигнат необходимите им разрешения“, отбелязват изследователите. „Основните вектори на инфекция и задвижване чрез изтегляния все още работят и могат да бъдат много ефективни с помощта на местните доставчици на интернет услуги.“

Заявявайки, че седем от деветте експлойта с нулев ден, открити през 2021 г., са разработени от търговски доставчици и се продава на и се използва от подкрепяни от правителството актьоритехнологичният гигант заяви, че проследява повече от 30 доставчици с различни нива на сложност, за които е известно, че търгуват с експлойти и възможности за наблюдение.

Нещо повече, Google TAG изрази опасения, че доставчици като RCS Lab „събират тайно уязвимости от нулев ден“ и предупреди, че това крие сериозни рискове, като се има предвид, че редица доставчици на шпионски софтуер са били компрометирани през последните десет години, „повдигайки призрака, че техните запасите могат да бъдат пуснати публично без предупреждение.”

„Нашите констатации подчертават степента, до която доставчиците на търговско наблюдение са увеличили способностите, използвани в миналото само от правителствата с техническия опит за разработване и операционализиране на експлойти“, каза TAG.

„Докато използването на технологии за наблюдение може да е законно съгласно националните или международните закони, често се установява, че те се използват от правителствата за цели, противоречащи на демократичните ценности: насочени срещу дисиденти, журналисти, работници по правата на човека и политици от опозиционните партии.

Актуализация: Потърсени за коментар, RCS Lab каза, че нейният „основен бизнес е проектиране, производство и внедряване на софтуерни платформи, предназначени за законно прихващане, криминалистично разузнаване и анализ на данни“ и че помага на правоприлагащите органи да предотвратяват и разследват сериозни престъпления като терористични актове. , трафик на наркотици, организирана престъпност, малтретиране на деца и корупция.

Ето и останалата част от неприписаното изявление –

RCS Lab изнася своите продукти в съответствие с националните и европейските правила и разпоредби. Всяка продажба или внедряване на продукти се извършва само след получаване на официално разрешение от компетентните органи. Нашите продукти се доставят и монтират в помещенията на одобрени клиенти. Персоналът на RCS Lab не е изложен и не участва в каквито и да е дейности, провеждани от съответните клиенти. RCS Lab категорично осъжда всяка злоупотреба или неправилно използване на нейните продукти, които са проектирани и произведени с намерението да подкрепят правната система в предотвратяването и борбата с престъпността.

.