Uma sofisticada campanha de spyware está obtendo a ajuda de provedores de serviços de Internet (ISPs) para enganar os usuários e fazer o download de aplicativos maliciosos, de acordo com pesquisa publicada pelo Grupo de Análise de Ameaças do Google (TAG) (via TechCrunch). Isso corrobora antes descobertas do grupo de pesquisa de segurança Lookoutque vinculou o spyware, apelidado de Hermit, ao fornecedor italiano de spyware RCS Labs.
A Lookout diz que o RCS Labs está na mesma linha de trabalho do NSO Group – a infame empresa de vigilância por aluguel por trás do spyware Pegasus – e vende spyware comercial para várias agências governamentais. Pesquisadores da Lookout acreditam que o Hermit já foi enviado pelo governo do Cazaquistão e pelas autoridades italianas. De acordo com essas descobertas, o Google identificou vítimas nos dois países e diz que notificará os usuários afetados.
Conforme descrito no relatório da Lookout, o Hermit é uma ameaça modular que pode baixar recursos adicionais de um servidor de comando e controle (C2). Isso permite que o spyware acesse os registros de chamadas, localização, fotos e mensagens de texto no dispositivo da vítima. O Hermit também é capaz de gravar áudio, fazer e interceptar chamadas telefônicas, bem como fazer root em um dispositivo Android, o que lhe dá controle total sobre seu sistema operacional principal.
O spyware pode infectar Android e iPhones, disfarçando-se como uma fonte legítima, geralmente assumindo a forma de uma operadora de celular ou aplicativo de mensagens. Os pesquisadores de segurança cibernética do Google descobriram que alguns invasores realmente trabalharam com ISPs para desligar os dados móveis de uma vítima para promover seu esquema. Atores mal-intencionados se passariam pela operadora de celular da vítima por SMS e enganariam os usuários a acreditar que um download de aplicativo malicioso restauraria sua conectividade com a Internet. Se os invasores não conseguissem trabalhar com um ISP, o Google diz que eles se apresentavam como aplicativos de mensagens aparentemente autênticos que enganaram os usuários para fazer o download.
Pesquisadores da Lookout e da TAG dizem que os aplicativos contendo o Hermit nunca foram disponibilizados no Google Play ou na Apple App Store. No entanto, os invasores conseguiram distribuir aplicativos infectados no iOS inscrevendo-se no Developer Enterprise Program da Apple. Isso permitiu que os maus atores ignorassem o processo de verificação padrão da App Store e obtivessem um certificado que “satisfaça todos os requisitos de assinatura de código iOS em qualquer dispositivo iOS”.
Apple disse A Beira que, desde então, revogou quaisquer contas ou certificados associados à ameaça. Além de notificar os usuários afetados, o Google também enviou uma atualização do Google Play Protect para todos os usuários.
