O Google advertiu as pessoas no Cazaquistão e na Itália que são alvo do Hermit, um spyware altamente avançado e especializado desenvolvido pela empresa italiana RCS Labs, capaz de roubar informações, gravar áudio e realizar ligações.
No post de blog de quinta-feira, dois pesquisadores da TAG, Benoit Sevens e Clement Lecigne, detalharam campanhas que enviam um único link para alvos com o objetivo de fazer com que baixem e instalem aplicativos falsos, fingindo ser legítimos, com o objetivo de spyware. Embora nenhum dos aplicativos falsos tivesse sido encontrado nas lojas de aplicativos móveis da Apple ou do Google, foi informado.
A TAG está atribuindo as habilidades à notável empresa de software de vigilância RCS Labs, que anteriormente havia sido conectada ao uso de spyware por um agente do governo do Cazaquistão contra alvos dentro de seu país, o que foi descoberto pela investigação da Lookout.
A Google TAG disse em um e-mail para Threatpost na quinta-feira à tarde que estão detalhando os recursos concedidos à RCS Labs, uma empresa italiana que emprega uma combinação variada de técnicas, entre elas downloads drive-by atípicos como vetor de infecção inicial, com o intuito de segmentar usuários móveis que usam iOS e Android.
Um link único foi enviado para o alvo pelo TAG, o qual tenta persuadir o usuário a baixar o spyware Hermit. Se clicado, a pessoa será direcionada para uma página web para instalar o aplicativo de vigilância em dispositivos Android ou iOS.
A página, que está escrita em italiano, sugere que os usuários instalem aplicativos específicos para recuperar sua conta, com links de download que direcionam para conteúdos controlados por invasores para usuários do Android ou iOS, de acordo com o que os pesquisadores descreveram.
Ao unir forças com os ISPs, a organização deseja aprimorar a experiência do usuário.
Os atores de ameaça utilizam uma técnica que envolve trabalhar com o ISP do alvo para desativar a conexão de dados móveis. Em seguida, eles fazem com que pareça que o link contém um aplicativo de portador para tentar induzir o usuário a instalar um aplicativo malicioso com a intenção de recuperar a conectividade.
Os investigadores do Projeto Zero do Google descobriram um caso onde parecia que havia um aplicativo da Vodafone para iOS, mas na verdade era uma aplicação fraudulenta. Os criminosos estão enviando um link para esse aplicativo nocivo por mensagem de texto para tentar convencer os alvos a baixarem o programa espião Hermit.
O SMS declara que, para recuperar a conectividade de dados móveis, a pessoa-alvo deve instalar o programa transportador, fornecendo um link para obter e instalar o aplicativo fraudulento, relatou Beer.
Na realidade, parece que a explicação para a maioria das aplicações aparecendo na campanha de Hermit foi porque elas mascararam-se como aplicações de dispositivos móveis, de acordo com os pesquisadores do Google TAG.
Em alguns casos, os atores de ameaças optam por não trabalhar diretamente com provedores de serviços de internet (ISPs). Em vez disso, eles usam programas que aparentam ser apps de mensagens para encobrir o Hermit, de acordo com a TAG do Google, o que corrobora os achados da pesquisa do Lookout.
Uma recente iniciativa para o sistema operacional iOS foi revelada.
Enquanto o Lookout já divulgou informações sobre como o Hermit fragmentava dispositivos Android, o Google TAG revelou detalhes sobre como o rastreador de celular operava em iPhones.
Eles revelaram detalhes do anfitrião de falhas – duas das quais eram erros de dia zero quando foram inicialmente descobertos pelo Google Project Zero – que os invasores usaram para sua campanha. O artigo de Beer é uma análise detalhada de uma das vulnerabilidades: CVE-2021-30983, conhecido internamente como Clicked3 e corrigido pela Apple em dezembro de 2020.
Os hackers seguiram as diretrizes da Apple sobre como distribuir programas privados para dispositivos Apple e usaram o protocolo itms-services com um manifesto contendo com.ios.carrier como identificador, conforme especificado pelos pesquisadores.
O resultado é um aplicativo assinado por um certificado da 3-1 Mobile SRL, que foi registrada no Programa de Desenvolvedor Empresarial da Apple, o que torna o certificado válido para dispositivos iOS, de acordo com fontes.
Os especialistas afirmaram que o aplicativo iOS é dividido em componentes, que incluem um enigma de escalada de privilégio genérico que é explorado por seis vulnerabilidades conhecidas. Além do Clieked3, os outros bugs explorados são: CVE-2017-13890, CVE-2017-14051, CVE-2017-14888, CVE-2017-14893 e CVE-2017-14882.
- O CVE-2018-4344, que é conhecido externamente como LightSpeed, é comumente mencionado internamente.
- Vulnerabilidade CVE-2019-8605, também chamada por dentro de SockPort2 e externamente conhecida como SockPuppet.
- CVE-2020-3837, que é descrito internamente como TimeWaster, é reconhecido publicamente com esse nome.
- A vulnerabilidade denotada como CVE-2020-9907, conhecida internamente como “Ave César”; é um erro que permite a execução remota de código (RCE) no programa Plex Media Server.
- A vulnerabilidade designada CVE-2021-30883, conhecida internamente como “Clicked2” e foi identificada sendo explorada in-the-wild por Apple no mês de outubro de 2021.
Todas as explorações empregadas previamente a 2021 foram derivadas de explorações públicas criadas por diferentes grupos de jailbreaking, bem como por estudiosos.
Repercussões mais abrangentes
O aparecimento de Hermit Spyware evidencia como os agentes de ameaça, muitas vezes financiados pelo Estado, passaram a usar novas técnicas de vigilância e práticas após a divulgação de que o regime repressor Pegasus, da NSO Group, com sede em Israel, foi aplicado em ataques cibernéticos contra dissidentes, ativistas, ONGs e na morte de jornalistas.
De verdade, embora o recurso de spyware como Hermit seja legal através de leis nacionais ou internacionais, “eles são frequentemente vistos como usados pelas autoridades para fins contrários a valores democráticos: direcionando dissidentes, jornalistas, ativistas de direitos humanos e indivíduos de partidos políticos da oposição”, afirmaram os pesquisadores do Google TAG.
Os Estados Unidos incluíram o Grupo NSO em sua lista devido à sua atividade que chamou a atenção mundial. No entanto, parece que isso não impediu a disseminação de softwares espiões para propósitos danosos, de acordo com o Google TAG.
Na atualidade, a indústria de spyware comercial continua a florescer e aumentar a uma velocidade considerável, que “será significativa para todos os usuários da Internet”, afirmaram os investigadores.
Os vendedores estão possibilitando a distribuição de ferramentas de invasão potencialmente perigosas e fornecendo meios para governos que não seriam capazes de criar essas habilidades sozinhos, afirmou.
Recomende compartilhar este artigo.
- A segurança aplicada aos dispositivos móveis é cada vez mais relevante para companhias.
- Todos os seres humanos têm o direito inalienável de privacidade.
