Una semana después de que surgiera que el gobierno de Kazajstán utilizó un sofisticado software espía móvil llamado Hermit dentro de sus fronteras, Google dijo que ha notificado a los usuarios de Android sobre los dispositivos infectados.
Además, se han implementado los cambios necesarios en Protección de Google Play — El servicio de defensa contra malware integrado de Android — para proteger a todos los usuarios, Benoit Sevens y Clement Lecigne de Google Threat Analysis Group (TAG) dijo en un informe del jueves.
Hermit, el trabajo de un proveedor italiano llamado RCS Lab, fue documentado por Lookout la semana pasada, destacando su conjunto de funciones modulares y sus capacidades para recopilar información confidencial, como registros de llamadas, contactos, fotos, ubicación precisa y mensajes SMS.
Una vez que la amenaza se ha insinuado por completo en un dispositivo, también está equipado para grabar audio y realizar y redirigir llamadas telefónicas, además de abusar de sus permisos a los servicios de accesibilidad para controlar las aplicaciones de primer plano utilizadas por las víctimas.
Su modularidad también le permite ser totalmente personalizable, equipando la funcionalidad del software espía para que se amplíe o modifique a voluntad. No está claro de inmediato quiénes fueron los objetivos de la campaña o cuáles de los clientes de RCS Lab estuvieron involucrados.
La empresa con sede en Milán, que opera desde 1993, reclamación (es para proporcionar «a los organismos encargados de hacer cumplir la ley en todo el mundo con soluciones tecnológicas de vanguardia y soporte técnico en el campo de la interceptación legal durante más de veinte años». Se supone que más de 10,000 objetivos interceptados se manejan diariamente solo en Europa.
«Hermit es otro ejemplo más de un arma digital que se usa para atacar a civiles y sus dispositivos móviles, y los datos recopilados por las partes maliciosas involucradas seguramente serán invaluables», dijo Richard Melick, director de informes de amenazas de Zimperium.
Los objetivos tienen sus teléfonos infectados con la herramienta de espionaje a través de descargas ocultas como vectores iniciales de infección, lo que, a su vez, implica el envío de un enlace único en un mensaje SMS que, al hacer clic, activa la cadena de ataque.
Se sospecha que los actores trabajaron en colaboración con los proveedores de servicios de Internet (ISP) de los objetivos para deshabilitar su conectividad de datos móviles, y luego enviaron un SMS que instaba a los destinatarios a instalar una aplicación para restaurar el acceso a datos móviles.
«Creemos que esta es la razón por la que la mayoría de las aplicaciones se hicieron pasar por aplicaciones de operadores móviles», dijeron los investigadores. «Cuando la participación del ISP no es posible, las aplicaciones se disfrazan como aplicaciones de mensajería».
Para comprometer a los usuarios de iOS, se dice que el adversario se basó en perfiles de aprovisionamiento que permiten cargar aplicaciones falsas con la marca del operador en los dispositivos sin necesidad de que estén disponibles en la App Store.
Un análisis de la versión iOS de la aplicación muestra que aprovecha hasta seis vulnerabilidades: CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907CVE-2021-30883 y CVE-2021-30983: para extraer archivos de interés, como las bases de datos de WhatsApp, del dispositivo.
«A medida que la curva cambia lentamente hacia la explotación de la corrupción de la memoria y se vuelve más costosa, es probable que los atacantes también cambien», Ian Beer de Google Project Zero. dijo en un análisis profundo de un artefacto de iOS que se hizo pasar por la aplicación de operador My Vodafone.
En Android, los ataques drive-by requieren que las víctimas habiliten una configuración para instalar aplicaciones de terceros de fuentes desconocidas, lo que hace que la aplicación no autorizada, que se hace pasar por marcas de teléfonos inteligentes como Samsung, solicite amplios permisos para lograr sus objetivos maliciosos.
La variante de Android, además de intentar rootear el dispositivo para acceso seguro, también está conectada de manera diferente en el sentido de que, en lugar de agrupar exploits en el archivo APK, contiene una funcionalidad que le permite obtener y ejecutar componentes remotos arbitrarios que pueden comunicarse con la aplicación principal.
«Esta campaña es un buen recordatorio de que los atacantes no siempre usan exploits para obtener los permisos que necesitan», señalaron los investigadores. «Los vectores de infección básicos y las descargas automáticas aún funcionan y pueden ser muy eficientes con la ayuda de los ISP locales».
Afirmando que siete de los nueve exploits de día cero que descubrió en 2021 fueron desarrollados por proveedores comerciales y vendidos y utilizados por actores respaldados por el gobierno, el gigante tecnológico dijo que está rastreando a más de 30 proveedores con diferentes niveles de sofisticación que se sabe que comercian exploits y capacidades de vigilancia.
Además, Google TAG expresó su preocupación de que proveedores como RCS Lab estén «acumulando vulnerabilidades de día cero en secreto» y advirtió que esto presenta riesgos graves considerando que varios proveedores de software espía se han visto comprometidos en los últimos diez años, «aumentando el espectro de que sus las reservas pueden liberarse públicamente sin previo aviso».
«Nuestros hallazgos subrayan hasta qué punto los proveedores de vigilancia comercial han proliferado las capacidades que históricamente solo han sido utilizadas por los gobiernos con la experiencia técnica para desarrollar y poner en funcionamiento las vulnerabilidades», dijo TAG.
«Si bien el uso de tecnologías de vigilancia puede ser legal según las leyes nacionales o internacionales, a menudo los gobiernos las utilizan con fines contrarios a los valores democráticos: atacar a disidentes, periodistas, trabajadores de derechos humanos y políticos de partidos de la oposición».