This post is also available in: Português
Pesquisadores do Google Threat Analisys Group (TAG) e Project Zero divulgaram informações sobre a descoberta de um novo spyware chamado Hermit, capaz de atacar dispositivos Android e iOS. O grande diferencial deste malware é que ele parece ter sido feito com qualidade comercial, ou seja, desenvolvido por uma empresa para espionagem.
Os pesquisadores de segurança cibernética da Lookout encontraram o malware atacando celulares Android, e disseram que o programa é capaz de fazer root nos aparelhos e acessar funções de gravar áudio, fazer e redirecionar chamadas, além de roubar informações de mensagens SMS, lista de contatos, fotos, localização do GPS, etc.
Great seeing @Google shed some light on the #iOS version of #Hermit. Lookout discovered the Android version of this #surveillanceware recently, which is developed by Italian #spyware vendor RCS Lab and used in Kazakhstan, Syria and Italy. https://t.co/oobzl4wEvJ
— Lookout (@Lookout) June 24, 2022
A Análise da Lookout, publicada em 16 de junho, sugeriu que o Hermit é enviado por meio de mensagens de SMS maliciosas. A conclusão da TAG é semelhante, com links exclusivos enviados para um destino disfarçado de mensagens enviadas por um provedor de serviços de Internet (ISP) ou um aplicativo de mensagens.
Segundo pesquisadores do Google, em alguns casos, os cibercriminosos trabalharam com o ISP do alvo para desativar a conectividade de dados móveis da vítima. Assim que desativado, o invasor enviaria um link malicioso via SMS, solicitando ao alvo que instalasse um aplicativo para recuperar sua conectividade de dados.
A equipe da Lookout só conseguiu garantir uma versão Android do Hermit, mas agora, a contribuição do Google adicionou uma amostra do iOS à investigação.
Nenhuma das amostras foi encontrada nos repositórios oficiais de aplicativos do Google ou da Apple. Em vez disso, os aplicativos carregados de spyware foram baixados de hosts de terceiros.
A amostra do Android exige que a vítima baixe um .APK depois de permitir a instalação de aplicativos móveis de fontes desconhecidas. O Hermit se disfarçou como um aplicativo da Samsung e usou o Firebase como parte de sua infraestrutura de comando e controle (C2).
Os pesquisadores dizem que, embora o próprio APK não contenha nenhum exploit, o código sugere a presença de exploits que podem ser baixados e executados.
O Google notificou os usuários do Android afetados pelo aplicativo e fez alterações no Google Play Protect para proteger os usuários das atividades maliciosas do aplicativo. Além disso, os projetos do Firebase associados ao spyware foram desativados.
A amostra do iOS, assinada com um certificado obtido do Apple Developer Enterprise Program, continha uma exploração de escalonamento de privilégios que poderia ser acionada por seis vulnerabilidades.
Enquanto quatro (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) eram conhecidos, outros dois (CVE-2021-30883 e CVE-2021-30983) eram suspeitos de estarem sendo explorados como dia zero antes de a Apple corrigi-los em dezembro de 2021. A empresa também revogou os certificados associados à campanha Hermit.
Hermit seria um spyware comercial?
Segundo o Google e a Lookout, o spyware é provavelmente atribuído à RCS Lab, uma empresa italiana em operação desde 1993.
A RCS Lab disse ao TechCrunch que a empresa exporta seus produtos em conformidade com as regras e regulamentos nacionais e europeus, e qualquer venda ou implementação de produtos é realizada somente após receber uma autorização oficial das autoridades competentes.
A circulação do Hermit destaca uma questão mais ampla: a próspera indústria de spyware e vigilância digital.
Atualmente, a TAG está rastreando mais de 30 fornecedores que oferecem exploits ou spyware para entidades apoiadas pelo governo e, de acordo com Charley Snyder, chefe de política de segurança cibernética do Google, embora seu uso possa ser legal, eles são frequentemente usados por governos para fins antiéticos aos valores democráticos, visando dissidentes, jornalistas, trabalhadores de direitos humanos e políticos.
Today I had the opportunity to testify at the European Parliament @EP_PegaInquiry's hearing on "Big tech and Spyware".
This issue is something we are focused on addressing @Google and I wanted to take a moment and share some thoughts🧵
— Charley Snyder (@charley_snyder_) June 14, 2022
This post is also available in: Português
