Eine ausgeklügelte Spyware-Kampagne erhält die Hilfe von Internetdienstanbietern (ISPs), um Benutzer dazu zu verleiten, bösartige Apps herunterzuladen, laut einer von Googles Threat Analysis Group (TAG) veröffentlichten Studie (via TechCrunch). Dies bestätigt frühere Erkenntnisse der Sicherheitsforschungsgruppe Lookout, die die Spyware mit dem Namen Hermit mit dem italienischen Spyware-Anbieter RCS Labs in Verbindung gebracht hat.
Laut Lookout arbeitet RCS Labs in der gleichen Branche wie die NSO Group – das berüchtigte Mietüberwachungsunternehmen hinter der Pegasus-Spyware – und verkauft kommerzielle Spyware an verschiedene Regierungsbehörden. Die Forscher von Lookout glauben, dass Hermit bereits von der Regierung Kasachstans und italienischen Behörden eingesetzt wurde. In Übereinstimmung mit diesen Erkenntnissen hat Google Opfer in beiden Ländern identifiziert und sagt, dass es betroffene Nutzer benachrichtigen wird.
Wie im Lookout-Bericht beschrieben, ist Hermit eine modulare Bedrohung, die zusätzliche Funktionen von einem Command-and-Control-Server (C2) herunterladen kann. Dadurch kann die Spyware auf die Anrufaufzeichnungen, den Standort, Fotos und Textnachrichten auf dem Gerät eines Opfers zugreifen. Hermit ist auch in der Lage, Audio aufzuzeichnen, Telefonanrufe zu tätigen und abzufangen sowie ein Android-Gerät zu rooten, wodurch es die volle Kontrolle über sein Kernbetriebssystem erhält.
Die Spyware kann sowohl Android als auch iPhones infizieren, indem sie sich als legitime Quelle tarnt und typischerweise die Form eines Mobilfunkanbieters oder einer Messaging-App annimmt. Die Cybersicherheitsforscher von Google fanden heraus, dass einige Angreifer tatsächlich mit ISPs zusammenarbeiteten, um die mobilen Daten eines Opfers auszuschalten, um ihr Schema voranzutreiben. Böse Schauspieler würden sich dann über SMS als Mobilfunkanbieter eines Opfers ausgeben und Benutzer glauben machen, dass ein bösartiger App-Download ihre Internetverbindung wiederherstellen würde. Wenn Angreifer nicht in der Lage waren, mit einem ISP zusammenzuarbeiten, gaben sie sich laut Google als scheinbar authentische Messaging-Apps aus, die sie Benutzer zum Herunterladen verleiteten.
Forscher von Lookout und TAG sagen, dass Apps mit Hermit nie über Google Play oder den Apple App Store verfügbar gemacht wurden. Angreifer konnten jedoch infizierte Apps auf iOS verteilen, indem sie sich beim Developer Enterprise Program von Apple anmeldeten. Dies ermöglichte es Angreifern, den standardmäßigen Überprüfungsprozess des App Store zu umgehen und ein Zertifikat zu erhalten, das „alle iOS-Codesignaturanforderungen auf allen iOS-Geräten erfüllt“.
Apple erzählt Der Rand dass es seitdem alle mit der Bedrohung verbundenen Konten oder Zertifikate widerrufen hat. Zusätzlich zur Benachrichtigung betroffener Benutzer hat Google allen Benutzern ein Google Play Protect-Update bereitgestellt.