Una sofisticata campagna di spyware si avvale dell’aiuto dei fornitori di servizi Internet (ISP) per indurre gli utenti a scaricare applicazioni dannose, secondo quanto riportato da Google. una ricerca pubblicata dal Threat Analysis Group di Google. (TAG) (via TechCrunch). Questo avvalora le precedenti del gruppo di ricerca sulla sicurezza Lookout, che ha collegato lo spyware, denominato Hermit, al fornitore italiano di spyware RCS Labs.

Lookout afferma che RCS Labs è un’azienda che opera nella stessa linea di NSO Group, la famigerata società di sorveglianza a pagamento dietro lo spyware Pegasus, e che vende spyware commerciale a varie agenzie governative. I ricercatori di Lookout ritengono che Hermit sia già stato utilizzato dal governo del Kazakistan e dalle autorità italiane. In linea con queste scoperte, Google ha identificato le vittime in entrambi i Paesi e ha dichiarato che informerà gli utenti interessati.

Come descritto nel rapporto di Lookout, Hermit è una minaccia modulare che può scaricare funzionalità aggiuntive da un server di comando e controllo (C2). Ciò consente allo spyware di accedere alle registrazioni delle chiamate, alla posizione, alle foto e ai messaggi di testo sul dispositivo della vittima. Hermit è anche in grado di registrare l’audio, di effettuare e intercettare le telefonate e di effettuare il rooting di un dispositivo Android, che gli consente di avere il pieno controllo sul sistema operativo principale.

Lo spyware può infettare sia Android che iPhone camuffandosi da fonte legittima, in genere assumendo la forma di un operatore mobile o di un’app di messaggistica. I ricercatori di Google che si occupano di sicurezza informatica hanno scoperto che alcuni aggressori collaboravano con gli ISP per disattivare i dati mobili della vittima per favorire il loro schema. I malintenzionati si spacciavano quindi per l’operatore di telefonia mobile della vittima tramite SMS e ingannavano gli utenti facendo loro credere che il download di un’app dannosa avrebbe ripristinato la loro connettività a Internet. Se gli aggressori non erano in grado di lavorare con un ISP, Google afferma che si spacciavano per app di messaggistica apparentemente autentiche, che ingannavano gli utenti a scaricare.

I ricercatori di Lookout e TAG affermano che le applicazioni contenenti Hermit non sono mai state rese disponibili tramite Google Play o Apple App Store. Tuttavia, gli aggressori sono stati in grado di distribuire app infette su iOS iscrivendosi al Developer Enterprise Program di Apple. Questo ha permesso ai malintenzionati di aggirare il processo di verifica standard dell’App Store e di ottenere un certificato che “soddisfa tutti i requisiti di firma del codice di iOS su qualsiasi dispositivo iOS”.

Apple ha comunicato a The Verge che nel frattempo ha revocato tutti gli account o i certificati associati alla minaccia. Oltre a informare gli utenti interessati, Google ha anche inviato un aggiornamento di Google Play Protect a tutti gli utenti.

Source link