Google upozorava na sofisticiranu novu špijunsku kampanju u kojoj su hakeri ukrali osjetljive podatke od Android i iOS korisnika u Italiji i Kazahstanu.
Grupa za analizu pretnji Threat Analysis Group (TAG) podijelila je svoje izvještaje o RCS Labs, komercijalnom prodavcu špijunskog softvera sa sjedištem u Italiji.
Naime, 16. juna, bezbjednosni istraživači kompanije Lookout povezali su firmu RCS Labs sa Hermit-om, programom za špijunski softver. Vjeruje se da su ga italijanske vlasti prvi put koristile 2019. godine kao dio antikorupcijske operacije.
Lookout opisuje RCS Labs kao organizaciju sličnu NSO grupi. Kompanija se predstavlja kao "zakonito presretanje" i tvrdi da radi samo sa vladinim agencijama.
Međutim, prodavci špijunskog softvera bili su pod intenzivnom kontrolom posljednjih godina, uglavnom zahvaljujući tome što vlade koriste špijunski softver Pegasus.
Prema izvještajima Google-a, Hermit može zaraziti i Android i iOS uređaje. Istraživači kompanije su primijetili da hakeri rade sa provajderom internet usluga da bi onemogućili vezu za prenos podataka.
Zatim određenoj meti pošalju SMS poruku sa upitom da preuzmu povezani softver kako bi obnovili svoju internet vezu. Ako takav pokušaj ne prođe, hakeri pokušavaju da prikriju špijunski softver kao legitimnu aplikaciju za razmenu poruka kao što su WhatsApp ili Instagram.
Ono što Hermit čini posebno opasnim je to što može da dobije dodatne mogućnosti preuzimanjem modula sa komandnog i kontrolnog servera.
Kompanija Lookout je primetila određene dodatke koji omogućuju programu da ukrade podatke iz kalendara i imenika mete, kao i da snima slike kamerom njihovog telefona. Jedan modul je čak dao špijunskom softveru mogućnost da izmijeni rute Android uređaja.
Google vjeruje da Hermit nikada nije stigao do Play ili App prodavnica. Međutim, kompanija je pronašla dokaze da su hakeri uspjeli da distribuiraju špijunski softver na iOS tako što su se upisali u Apple-ov program koji pomaže kompanijama pri razvoju i implementaciji aplikacija.
Prema izvještajima Apple-a, kompanija je blokirala sve naloge povezane sa ovom prijetnjom. U međuvremenu, Google je obavijestio pogođene korisnike i uveo ažuriranje za Google Play zaštitu.
Google napominje da bi rast industrije komercijalnog špijunskog softvera trebalo sve da zabrine.
"Ovi dobavljači omogućavaju ekspanziju opasnih alata za hakovanje i naoružavaju vlade koje ne bi mogle da razviju ove sposobnosti u svojoj državi", saopštio je Google.
"Dok upotreba tehnologija nadzora može biti legalna prema nacionalnim ili međunarodnim zakonima, često se otkrije da ih vlade koriste u svrhe koje su suprotne demokratskim vrijednostima. Ciljevi su uglavnom revolucionari, novinari, radnici za ljudska prava i političari opozicionih stranaka.