Google обнаружил новое шпионское ПО Hermit на Android и iOS: стоит ли беспокоиться?

Группа Google Project Zero and Threat Analysis Group (TAG) опубликовала свои выводы о деятельности итальянского производителя шпионского ПО RCS Labs. Это не так масштабно, как израильская NSO Group и её проприетарное шпионское ПО Pegasus. Тем не менее, как сообщается, он существует уже довольно много лет и применялся против людей в Италии, Казахстане и Сирии. Даже если вашей страны нет в списке, знайте, что TAG в настоящее время отслеживает более 30 поставщиков шпионского ПО, которые превратились в полноценную экосистему и предоставляют свои услуги правительствам стран мира. Итак, давайте разберёмся, как эти вещи работают.

Как работает шпионское ПО RCS Labs

Шпионское ПО будет замаскировано под поддельное приложение My Vodafone, которое будет отправлено пользователям через SMS-ссылку, и их обманом заставят установить приложение. Чтобы убедить их, злоумышленники иногда заставляли интернет-провайдеров сначала отключить мобильные данные, а затем просили их установить конкретное приложение My Vodafone для восстановления услуг.

Приложение может показаться вполне законным и безопасным, и загрузка неопубликованных приложений работает, потому что вход в него был выполнен через программу Apple Enterprise Developer Program. Однако Apple отозвала все сертификаты и учётные записи, связанные с этим проектом.

Говоря о сторонней загрузке, Apple заявила: «Корпоративные сертификаты предназначены только для внутреннего использования компанией и не предназначены для общего распространения приложений, поскольку их можно использовать для обхода защиты App Store и iOS. Несмотря на жёсткий контроль и ограниченный масштаб программы, злоумышленники нашли несанкционированный доступ к ней, например, купив корпоративные сертификаты на чёрном рынке».

Apple также заделала бреши для эксплойтов, которые использовались злоумышленниками для проникновения в iPhone жертв.

По словам специалиста Project Zero Яна Бира, эксплойты были успешными в первую очередь из-за новой «системы на кристалле» и «сопроцессоров», используемых в последних iPhone, которые также используются в телефонах Android.

Между тем, член TAG Бенуа Севенс заметил: «Индустрия коммерческого наблюдения извлекает выгоду и повторно использует исследования сообщества взломщиков. В этом случае три из шести эксплойтов относятся к общедоступным эксплойтам для джейлбрейка. Мы также видим, как другие поставщики средств видеонаблюдения повторно используют методы и векторы заражения, которые изначально использовались киберпреступными группами. И, как и другие злоумышленники, поставщики систем видеонаблюдения используют не только полиморфные эксплойты, но и атаки с использованием социальной инженерии, чтобы заманить своих жертв».

Другой сотрудник TAG, Клемент Лесин, сказал WIRED, что «эти поставщики способствуют распространению опасных хакерских инструментов, вооружая правительства, которые не смогут развивать эти возможности собственными силами. Но прозрачность в этой отрасли практически отсутствует, поэтому очень важно делиться информацией об этих поставщиках и их возможностях».

Мы согласны и признательны Google и другим сторонам, причастным к обнаружению таких уязвимостей. Теперь, если у вас есть iPhone или, если на то пошло, любое вычислительное устройство, вам рекомендуется своевременно обновлять программное обеспечение.