Pesquisadores de segurança da Lookout recentemente vinculou um spyware móvel Android anteriormente não atribuído, apelidado de Hermit, à casa de software italiana RCS Lab. Agora, os pesquisadores de ameaças do Google confirmaram muitas das descobertas da Lookout e estão notificando os usuários do Android cujos dispositivos foram comprometidos pelo spyware.
Hermit é um spyware comercial conhecido por ser usado por governos, com vítimas no Cazaquistão e na Itália, de acordo com Lookout e Google. Lookout diz que também viu o spyware implantado no norte da Síria. O spyware usa vários módulos, que ele baixa de seus servidores de comando e controle conforme necessário, para coletar registros de chamadas, gravar áudio ambiente, redirecionar chamadas telefônicas e coletar fotos, mensagens, e-mails e a localização precisa do dispositivo a partir do dispositivo da vítima. A Lookout disse em sua análise que o Hermit, que funciona em todas as versões do Android, também tenta fazer root em um dispositivo Android infectado, concedendo ao spyware um acesso ainda mais profundo aos dados da vítima.
Lookout disse que as vítimas direcionadas recebem um link malicioso por mensagem de texto e são induzidas a baixar e instalar o aplicativo malicioso – que se disfarça como um aplicativo de mensagens ou telco de marca legítima – de fora da loja de aplicativos.
De acordo com uma nova postagem no blog publicada na quinta-feira e compartilhada com o TechCrunch antes de sua publicação, o Google disse que encontrou evidências de que, em alguns casos, os atores do governo no controle do spyware trabalharam com o provedor de Internet do alvo para cortar sua conectividade de dados móveis, provavelmente como um atrair para enganar o alvo para baixar um aplicativo com tema de telecomunicações sob o pretexto de restaurar a conectividade.
O Google também analisou uma amostra do spyware Hermit visando iPhones, que a Lookout disse anteriormente que não conseguiu obter. De acordo com as descobertas do Google, o aplicativo Hermit iOS – que abusa dos certificados de desenvolvedor corporativo da Apple, permitindo que o spyware seja carregado no dispositivo da vítima de fora da loja de aplicativos – está repleto de seis explorações diferentes, duas das quais eram vulnerabilidades nunca antes vistas — ou zero dias — no momento de sua descoberta. Uma das vulnerabilidades de dia zero era conhecida pela Apple como sendo ativamente explorada antes de ser corrigida.
Nem as versões para Android nem para iOS do spyware Hermit foram encontradas nas lojas de aplicativos, de acordo com ambas as empresas. O Google disse que “notificou os usuários do Android sobre dispositivos infectados” e atualizou o Google Play Protect, o scanner de segurança de aplicativos integrado ao Android, para bloquear a execução do aplicativo. O Google disse que também desligou a conta Firebase do spyware, que o spyware usava para se comunicar com seus servidores.
O Google não disse quantos usuários do Android estava notificando.
Quando perguntado pelo TechCrunch se a Apple havia desativado o certificado corporativo usado para assinar a versão iOS do spyware, o que tornaria o spyware incapaz de funcionar, um porta-voz da Apple não comentou.
O Hermit é o mais recente spyware de nível governamental conhecido por ser implantado por agências estaduais. Embora não se saiba quem foi alvo de governos que usam o Hermit, spyware móvel semelhante desenvolvido por empresas de hackers, como NSO Group e Candiru, tem sido associado à vigilância de jornalistas, ativistas e defensores de direitos humanos.
Quando contatado para comentar, o RCS Lab forneceu uma declaração não atribuída, que dizia em parte: “O RCS Lab exporta seus produtos em conformidade com as regras e regulamentos nacionais e europeus. Qualquer venda ou implementação de produtos é realizada somente após receber uma autorização oficial das autoridades competentes. Nossos produtos são entregues e instalados dentro das instalações de clientes aprovados. O pessoal do RCS Lab não está exposto nem participa de nenhuma atividade conduzida pelos clientes relevantes.”
Você pode entrar em contato com este repórter no Signal e WhatsApp em +1 646-755-8849 ou [email protected] por e-mail.
