Google advarer om en sofistikeret ny spionkampagne, hvor angribere har stjålet følsomme data fra Android- og iOS-brugere i Italien og Kasakhstan. På torsdag, virksomhedens Threat Intelligence Group (TAG) generel deres resultater på RCS Labs, en kommerciel spywareleverandør baseret i Italien.
16. juni sikkerhedsforskere fra knyttet firmaet til Eremit-spywaren, som menes at være blevet indsat første gang af italienske myndigheder i 2019 som en del af en anti-korruptionsoperation. Lookout beskriver RCS Labs som en organisation, der ligner NSO Group. Firmaet fakturerer sig selv som en “lovlig aflytning”-virksomhed og hævder kun at arbejde med offentlige myndigheder. Kommercielle spyware-leverandører er dog blevet undersøgt i de seneste år, hovedsagelig på grund af regeringer, der bruger Pegasus-spyware til at .
Ifølge Google kan Hermit inficere Android- og iOS-enheder. I nogle tilfælde observerede virksomhedens forskere, hvordan angriberne arbejdede med deres måls internetudbyder for at deaktivere deres dataforbindelse. De sendte derefter en SMS-besked til målet, hvor de bad dem downloade den tilknyttede software for at genoprette deres internetforbindelse. Hvis det ikke var muligt, forsøgte angriberne at skjule spywaren som en legitim messaging-app som WhatsApp eller Instagram.
Det, der gør Hermit særligt farligt, er, at den kan få yderligere funktionalitet ved at downloade moduler fra en kommando- og kontrolserver. Nogle af de tilføjelser, som Lookout fandt, gjorde det muligt for programmet at stjæle data fra målets kalender- og adressebogsapplikationer, samt tage billeder ved hjælp af deres telefons kamera. Et modul gav endda spyware muligheden for at roote en Android-enhed.
Google mener, at Hermit aldrig nåede til Play Store eller App Store. Virksomheden fandt dog beviser for, at angribere kunne distribuere spyware på iOS ved at registrere sig hos Apple. . Apple fortalte at den siden har blokeret alle konti eller certifikater forbundet med truslen. I mellemtiden har Google underrettet berørte brugere og udgivet en opdatering til Google Play Protect.
Virksomheden afslutter sit indlæg med at bemærke, at væksten i den kommercielle spywareindustri bør være for alle. “Disse leverandører letter spredningen af farlige hackingværktøjer og bevæbner regeringer, som ikke kan udvikle disse egenskaber på egen hånd,” sagde virksomheden i en erklæring. “Selvom brugen af overvågningsteknologier kan være lovlige i henhold til national eller international lov, bruges de ofte af regeringer til formål, der strider mod demokratiske værdier: mod dissidenter, journalister, menneskerettighedsaktivister og oppositionspartipolitikere.”
Alle produkter anbefalet af Engadget er udvalgt af vores redaktion uafhængigt af vores moderselskab. Nogle af vores historier indeholder affiliate links. Hvis du køber noget via et af disse links, kan vi optjene en affiliate-kommission.