Google: интернет-провайдеры помогают хакерам распространять шпионский сотф Hermit на устройства с Android и iOS

[Ippolitovich]

Специалисты подразделения Google Threat Analysis Group (GTAG) провели исследование, в результате которого была выявлена изощрённая хакерская кампания, в рамках которой интернет-провайдеры помогали хакерам распространять шпионское программное обеспечение Hermit. Работа Google подтверждает результаты более раннего исследования специалистов по информационной безопасности Lookout, которые связали шпионское ПО Hermit с итальянским разработчиком RCS Labs. По данным Lookout, компания RCS Labs разрабатывает шпионское программное обеспечение, которое продаёт правительственным учреждениям разных стран. Специалисты выявили признаки того, что инструмент Hermit уже использовался правительством Казахстана, а также властями Италии. Это подтвердили специалисты Google, которым удалось выявить жертв слежки в обеих упомянутых странах и уведомить их об этом.

 

 

В отчёте Lookout сказано, что Hermit представляет собой опасный инструмент, который в случае необходимости может осуществлять загрузку дополнительных модулей для расширения собственных возможностей. ПО может использоваться для получения доступа к записям звонков, местоположению устройства, фотографиям и видео, текстовым сообщениям и другой информации, хранящейся в памяти устройства жертвы. Ещё Hermit может записывать и перехватывать звонки, а также получать права суперпользователя на устройстве, что даёт полный контроль над операционной системой.

 

 

Отмечается, что ПО Hermit может использоваться для проведения атак против пользователей устройств на базе Android и iOS. Обычно оно маскируется под легитимное приложение мобильного оператора или мессенджер. Специалисты Google установили, что в некоторых случаях злоумышленники работали вместе с местными провайдерами, которые блокировали жертвам интернет-соединение, что необходимо для реализации схемы внедрения вредоносного ПО на устройства. После отключения интернета с жертвами под видом провайдера связывались злоумышленники и убеждали установить якобы легитимное приложение, которое, по их словам, поможет восстановить интернет-соединение.

 

 

По данным GTAG и Lookout, ПО Hermit никогда не распространялось через официальные источники, такие как магазины цифрового контента Google Play Маркет и Apple App Store. Однако злоумышленникам удалось распространить вредонос для iOS, приняв участие в программе Apple Developer Enterprise Program. Участие в упомянутой программе позволило обойти стандартный процесс проверки приложений в App Store и получить сертификат соответствия требованиям площадки. На данный момент Apple уже отозвала выданные сертификаты и заблокировала учётные записи, связанные с Hermit.