ISP-ken át trükköznek a Hermit kémprogram használói
Egy rendkívül kifinomult, új fejlett spyware kampányra hívta fel a figyelmet a Google, melynek során rosszakarók androidos és iOS-es felhasználók érzékeny adataira pályáznak. Az eddigi vizsgálatok szerint Olaszországban, Kazahsztánban és Szíriában találtak áldozatokat. A cég fenyegetéselemző csoportja (TAG) a kártékony szoftvert az olasz RCS Labs céggel hozta összefüggésbe.
A Lookout biztonsági cég szakértői június 16-án az RCS Labs nevű beszállítóval hozták kapcsolatba a Hermit nevű kémprogramot, amelynek egyik változatát először olasz hatóságok vetették be 2019-ben egy korrupcióellenes vizsgálat során. A szakértők leginkább a Pegasust fejlesztő izraeli NSO Grouphoz hasonlítják az RCS Labs tevékenységét, mely állítása szerint törvényi keretek közt nyújt lehallgatási eszközöket kizárólag kormányzati partnerek számára. A kereskedelmi kémprogramok beszállítói az utóbbi években kerültek vizsgálatok alá nagyrészt a Pegasusszal való visszaélések apropóján, miután számos aktivista és újságíró tevékenységét hallgatták le kormányzatok.
A Google szerint a Hermit egyaránt megfertőzhet androidos és iOS-es eszközöket. Egyes támadók arra is képesek, hogy a célpont internetszolgáltatójával (ISP) együttműködve lekapcsolják a felhasználó adatforgalmát, majd a szolgáltatónak kiadva magukat további cselekedetekre vegyék rá a felhasználót, mondjuk SMS-ben küldött kártékony hivatkozásra kattintásra, amelyben azt állítják, hogy egy további alkalmazás telepítésével visszaállíthatják a netkapcsolatukat. Egy iOS-es minta vizsgálata során a Google például a My Vodafone appal való visszaélést állapította meg. Ha ez a módszer nem hoz sikert, a támadók alternatívaként a WhatsApp vagy az Instagram privát üzenetküldőjét is másolják, és adatszivárgásra hivatkozva azt kérik a netezőtől, hogy töltsék le ismét a csevegőket (jobban mondva az azoknak álcázott kártékony programokat).
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A rosszindulatú eszközt különösen veszélyessé teszi, hogy további kártékony modulokat képes letölteni távoli command and control szerverről, ezáltal pedig újabb képességekre tesz szert: a Lookout vizsgálata szerint további bővítményekkel a kémprogram alkalmassá válik az áldozat naptárában rögzített adatokhoz, illetve a névjegyei, eszközön tárolt fotóihoz, hangfájlaihoz való hozzáférésre, egy modul pedig akár képes rootolni is az androidos eszközöket.
A keresőcég eddigi vizsgálatok alapján úgy sejti, hogy a Hermit eddig még nem jutott be a Google Play áruház rendszerébe, de jeleket találat arra vonatkozóan, hogy az iOS rendszereken az Apple Developer Enterprise programjába való jelentkezéssel már terjedhettek a kódot tartalmazó alkalmazások, mivel így lehetővé válik az alkalmazásbolt ellenőrzési folyamatának megkerülése. Az Apple a The Verge számára azt nyilatkozta, hogy minden olyan fiókot és tanúsítványt letiltott, ami kapcsolatba hozható a fenyegetéssel.
A Google közben arról tájékoztatta a felhasználókat, hogy frissítsék a Google Play Protectet. A cég szerint bár a megfigyelési technológiák használata a nemzeti vagy nemzetközi törvények szerint egyes esetekben legális, de a kormányok gyakran a demokratikus értékekkel ellentétes célokra használják fel ezeket az eszközöket: a másként gondolkodókat, újságírókat, aktivistákat, ellenzéki pártok politikusait célozzák meg, így a kereskedelmi kémprogram-ipar növekedése mindenkit érint. A TAG több mint 30 kémprogramgyártót követ aktívan, amik a technikai képességek széles skáláját kínálják a kormányzati ügyfeleknek.