Lookout, especialista en ciberseguridad, informado el 16 de junio Infección de dispositivos Android con spyware Hermit en Kazajstán e Italia. Google notificó de inmediato a los usuarios afectados y tomó medidas para mitigar la infección. Según Lookout y Google, la empresa italiana RCS Lab habría diseñado este software para venderlo a organismos gubernamentales. Un caso que se hace eco del escándalo del software espía Pegasus que infectó los teléfonos de periodistas y figuras políticas en 2021.
Una infección con la complicidad de las telefonistas
Google confirmó el descubrimiento realizado por Lookout a través de una publicación en su blog este 23 de junio. A diferencia de Pegasus, que es un software de cero clics que no requiere ninguna acción del usuario para infectar su teléfono, Hermit debe descargarse manualmente. Lookout explica que las víctimas fueron manipuladas con la complicidad de telefonistas.
Thales recibe apoyo estatal para hacerse cargo del negocio de Atos
Según Google, el operador corta temporalmente la conexión móvil de las personas objetivo. Luego reciben un enlace por mensaje que los invita a descargar una aplicación oficial para restablecer la conexión. Este es un señuelo que permite la instalación de Hermit en el sistema Android de la víctima al pasar por alto la seguridad presente en Google Play Store.
El software espía así instalado se conecta a un servidor que recopilará una gran cantidad de datos. El historial de llamadas, fotos, mensajes, correos electrónicos y la ubicación del teléfono son algunos de los elementos recuperados. Más preocupante aún, Hermit puede grabar sonido y redirigir llamadas.
Además de advertir a los infectados, Google actualizó Google Play Protect, la aplicación de análisis de seguridad integrada en todos los dispositivos Android para bloquear el spyware. El gigante estadounidense también cortó el acceso de Hermit a Firebase, la herramienta de creación de aplicaciones de Google, que el spyware secuestró para conectarse a su servidor.
Hermit se ha utilizado con fines maliciosos en varios países.
Lookout especifica que el software Hermit se conoce desde hace varios años. Ya fue utilizado por el gobierno italiano en 2019 en una operación anticorrupción. Según las grabaciones descubiertas por el especialista en ciberseguridad, también fue utilizado en Siria por un actor desconocido. El área objetivo fue una región en el noreste del país donde Hermit se hizo pasar por «Red Rojava», un medio presente en las redes sociales.
Lookout rastreó un uso más reciente de Hermit por parte del gobierno de Kazajstán en abril de 2022, meses después de las protestas contra el gobierno. En este caso, Hermit se hizo pasar por un sitio web de Oppo, el fabricante de teléfonos, para engañar a los usuarios de Internet.
La evidencia recopilada por Lookout hizo posible rastrear a la empresa detrás del spyware. Sería la empresa italiana RCS Lab, un proveedor de spyware, conocido por casos que datan de 2015. En ese momento, las filtraciones de Wikileaks revelaron que RCS Lab era revendedor de HackingTeam, un proveedor de spyware. Se han establecido vínculos entre estas dos empresas italianas y agencias militares y de inteligencia en muchos países como Pakistán, Chile, Mongolia y Turkmenistán.
A raíz del caso Pegasus, en 2021, un grupo de expertos de la ONU consideró que la venta de este tipo de software debería suspenderse a la espera de una regulación más estricta. Aunque el asunto Hermit no tiene la misma cobertura mediática que el virus israelí, podría reavivar la cuestión de un mejor marco para estos ciberarmamentos.