Google diz que invasores trabalharam com ISPs para implantar adware Hermit no Android e iOS

Uma sofisticada campanha de adware está obtendo a ajuda de provedores de serviços de Web (ISPs) para enganar os usuários e fazer o obtain de aplicativos maliciosos, de acordo com pesquisa publicada pelo Grupo de Análise de Ameaças do Google (TAG) (by means of TechCrunch). Isso corrobora antes descobertas do grupo de pesquisa de segurança Lookoutque vinculou o adware, apelidado de Hermit, ao fornecedor italiano de adware RCS Labs.

A Lookout diz que o RCS Labs está na mesma linha de trabalho do NSO Workforce – a infame empresa de vigilância por aluguel por trás do adware Pegasus – e vende adware comercial para várias agências governamentais. Pesquisadores da Lookout acreditam que o Hermit já foi enviado pelo governo do Cazaquistão e pelas autoridades italianas. De acordo com essas descobertas, o Google identificou vítimas nos dois países e diz que notificará os usuários afetados.

Conforme descrito no relatório da Lookout, o Hermit é uma ameaça modular que pode baixar recursos adicionais de um servidor de comando e controle (C2). Isso permite que o adware acesse os registros de chamadas, localização, fotos e mensagens de texto no dispositivo da vítima. O Hermit também é capaz de gravar áudio, fazer e interceptar chamadas telefônicas, bem como fazer root em um dispositivo Android, o que lhe dá controle overall sobre seu sistema operacional important.

O adware pode infectar Android e iPhones, disfarçando-se como uma fonte legítima, geralmente assumindo a forma de uma operadora de celular ou aplicativo de mensagens. Os pesquisadores de segurança cibernética do Google descobriram que alguns invasores realmente trabalharam com ISPs para desligar os dados móveis de uma vítima para promover seu esquema. Atores mal-intencionados se passariam pela operadora de celular da vítima por SMS e enganariam os usuários a acreditar que um obtain de aplicativo malicioso restauraria sua conectividade com a Web. Se os invasores não conseguissem trabalhar com um ISP, o Google diz que eles se apresentavam como aplicativos de mensagens aparentemente autênticos que enganaram os usuários para fazer o obtain.

Pesquisadores da Lookout e da TAG dizem que os aplicativos contendo o Hermit nunca foram disponibilizados no Google Play ou na Apple App Retailer. No entanto, os invasores conseguiram distribuir aplicativos infectados no iOS inscrevendo-se no Developer Undertaking Program da Apple. Isso permitiu que os maus atores ignorassem o processo de verificação padrão da App Retailer e obtivessem um certificado que “satisfaça todos os requisitos de assinatura de código iOS em qualquer dispositivo iOS”.

Apple disse A Beira que, desde então, revogou quaisquer contas ou certificados associados à ameaça. Além de notificar os usuários afetados, o Google também enviou uma atualização do Google Play Offer protection to para todos os usuários.