Un software de vigilancia de nivel empresarial denominado Ermitaño ha sido utilizado por entidades que operan desde Kazajstán, Siria e Italia a lo largo de los años desde 2019, según ha revelado una nueva investigación.
Lookout atribuyó el software espía, que está equipado para apuntar tanto a Android como a iOS, a una empresa italiana llamada RCS Lab SpA y Tykelab Srl, un proveedor de servicios de telecomunicaciones que sospecha que es una empresa de fachada. La firma de ciberseguridad con sede en San Francisco dijo que detectó la campaña dirigida a Kazajstán en abril de 2022.
Hermit es modular y viene con innumerables capacidades que le permiten «explotar un dispositivo rooteado, grabar audio y hacer y redirigir llamadas telefónicas, así como recopilar datos como registros de llamadas, contactos, fotos, ubicación del dispositivo y mensajes SMS», investigadores de Lookout. Justin Albrecht y Paul Shunk dijo en un nuevo escrito.
Se cree que el software espía se distribuye a través de mensajes SMS que engañan a los usuarios para que instalen aplicaciones aparentemente inocuas de Samsung, Vivo y Oppo que, cuando se abren, cargan un sitio web de la empresa suplantada mientras activan sigilosamente la cadena de eliminación en segundo plano.
Al igual que otras amenazas de malware de Android, Hermit está diseñado para abusar de su acceso a los servicios de accesibilidad y otros componentes centrales del sistema operativo (es decir, contactos, cámara, calendario, portapapeles, etc.) para la mayoría de sus actividades maliciosas.
Los dispositivos Android han estado en el extremo receptor del spyware en el pasado. En noviembre de 2021, el actor de amenazas rastreado como APT-C-23 (también conocido como Arid Viper) se vinculó a una ola de ataques dirigidos a usuarios de Medio Oriente con nuevas variantes de FrozenCell.
Luego, el mes pasado, el Grupo de Análisis de Amenazas (TAG) de Google reveló que al menos actores respaldados por el gobierno ubicados en Egipto, Armenia, Grecia, Madagascar, Costa de Marfil, Serbia, España e Indonesia están comprando exploits de día cero de Android para vigilancia encubierta. campañas
«RCS Lab, un desarrollador conocido que ha estado activo durante más de tres décadas, opera en el mismo mercado que el desarrollador de Pegasus NSO Group Technologies y Gamma Group, que creó FinFisher», señalaron los investigadores.
«Denominadas colectivamente como empresas de ‘intercepción legal’, afirman vender solo a clientes con un uso legítimo de software de vigilancia, como agencias de inteligencia y de aplicación de la ley. En realidad, estas herramientas a menudo han sido abusadas bajo el pretexto de la seguridad nacional para espiar negocios. ejecutivos, activistas de derechos humanos, periodistas, académicos y funcionarios gubernamentales».
Los hallazgos se producen cuando se dice que NSO Group, con sede en Israel, está según se informa en negociaciones vender su tecnología Pegasus al contratista de defensa estadounidense L3Harris, la empresa que fabrica Mantarraya rastreadores de teléfonos celulares, lo que generó preocupaciones de que podría abrir la puerta para el uso de la controvertida herramienta de piratería por parte de las fuerzas del orden.
El fabricante alemán detrás finfisher ha tenido sus propios problemas a raíz de las redadas realizadas por las autoridades investigadoras en relación con presuntas violaciones de las leyes de comercio exterior al vender su software espía en Turquía sin obtener la licencia requerida.
A principios de marzo, cerró sus operaciones y se declaró en concurso de acreedores, Netzpolitik y Bloomberg informó, agregando, «la oficina ha sido disuelta, los empleados han sido despedidos y las operaciones comerciales han cesado».