O spyware móvel Hermit foi usado pelo governo do Cazaquistão dentro de suas fronteiras, o Google disse que notificou os usuários do Android sobre dispositivos infectados. A empresa disse que ISPs (provedores de serviços de Internet) podem ter ajudado invasores a infectar smartphones com o spyware Hermit.
Mudanças necessárias foram implementadas no Google Play Protect, serviço de defesa contra malware integrado do Android, para proteger todos os usuários, de acordo com Benoit Sevens e Clement Lecigne do Google Threat Analysis Group (TAG) em um relatório de quinta-feira.
Spyware Hermit
Hermit, o trabalho de um fornecedor italiano chamado RCS Lab, foi documentado pela Lookout na semana passada, destacando seu conjunto modular de recursos e suas habilidades de coletar informações confidenciais, como registros de chamadas, contatos, fotos, localização precisa e mensagens SMS.
Depois que a ameaça se insinua completamente em um dispositivo, ela também é equipada para gravar áudio e fazer e redirecionar chamadas telefônicas, além de abusar de suas permissões para serviços de acessibilidade no Android para manter o controle de vários aplicativos em primeiro plano usados ??pelas vítimas. Sua modularidade também permite que seja totalmente personalizável, permitindo que a funcionalidade do spyware seja estendida ou alterada à vontade.
Infelizmente, não está imediatamente claro quem foi o alvo da campanha ou quais clientes da RCS Lab estavam envolvidos. A empresa com sede em Milão, operando desde 1993, afirma fornecer “às agências de aplicação da lei em todo o mundo soluções tecnológicas de ponta e suporte técnico na área de interceptação legal por mais de vinte anos”. Mais de 10.000 alvos interceptados são supostamente tratados diariamente apenas na Europa.
“Hermit é mais um exemplo de uma arma digital usada para atingir civis e seus dispositivos móveis, e os dados coletados pelas partes maliciosas envolvidas certamente serão inestimáveis”, disse Richard Melick, diretor de relatórios de ameaças da Zimperium.
Os alvos têm seus telefones infectados com a ferramenta de espionagem por meio de downloads drive-by como vetores iniciais de infecção, o que, por sua vez, envolve o envio de um link exclusivo em uma mensagem SMS que, ao clicar, ativa a cadeia de ataque.
Suspeita-se que os atores trabalharam em colaboração com os provedores de serviços de Internet (ISPs) dos alvos para desativar sua conectividade de dados móveis, seguido pelo envio de um SMS que instava os destinatários a instalar um aplicativo para restaurar o acesso a dados móveis.
Para comprometer os usuários do iOS, diz-se que o adversário confiou em perfis de provisionamento que permitem que aplicativos falsos de marca de operadora sejam carregados nos dispositivos sem a necessidade de estarem disponíveis na App Store.
Uma análise da versão iOS do aplicativo mostra que ele aproveita até seis explorações: CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907, CVE-2021-30883 e CVE-2021-30983. Todas utilizadas para exfiltrar arquivos de interesse, como bancos de dados do WhatsApp, do dispositivo.
No Android, os ataques drive-by exigem que as vítimas ativem uma configuração para instalar aplicativos de terceiros de fontes desconhecidas, o que resulta no aplicativo não autorizado, disfarçado de marcas de smartphones como Samsung, solicitando permissões extensas para atingir seus objetivos maliciosos.
A variante Android, além de tentar fazer root no dispositivo para acesso entrincheirado, também é conectada de maneira diferente, pois, em vez de agrupar explorações no arquivo APK, contém funcionalidade que permite buscar e executar componentes remotos arbitrários que podem se comunicar com o aplicativo principal.
Afirmando que sete das nove explorações de dia zero descobertas em 2021 foram desenvolvidas por fornecedores comerciais e vendidas e usadas por atores apoiados pelo governo, o gigante da tecnologia disse que está rastreando mais de 30 fornecedores com níveis variados de sofisticação que são conhecidos por negociar explorações e capacidades de vigilância.
Além disso, o Google TAG levantou preocupações de que fornecedores como o RCS Lab estão “armazenando vulnerabilidades de dia zero em segredo” e advertiu que isso representa riscos graves, considerando que vários fornecedores de spyware foram comprometidos nos últimos dez anos, “aumentando o espectro de que seus estoques podem ser liberados publicamente sem aviso.”
O RCS Lab disse ao The Hacker News que seu “negócio principal é o design, produção e implementação de plataformas de software dedicadas à interceptação legal, inteligência forense e análise de dados” e que ajuda a aplicação da lei a prevenir e investigar crimes graves, como atos terrorismo, tráfico de drogas, crime organizado, abuso infantil e corrupção.
