Google почав сповіщати користувачів Android, що їм може загрожувати Hermit. Це шпигунське програмне забезпечення урядового рівня. Наразі воно націлене на жителів у Казахстані та Італії.
За даними компанії з кібербезпеки Lookout та експертів Google, програма Hermit — це комерційне шпигунське програмне забезпечення, яке, як відомо, використовується урядами, жертвами якого є Казахстан та Італія. У Lookout кажуть, що спостерігали використання цього шпигунського програмного забезпечення на півночі Сирії.
Шпигунське ПЗ використовує різні модулі, які воно завантажує зі своїх серверів управління. Ці модулі потрібні для збору журналів викликів, запису зовнішнього аудіо, переадресації телефонних дзвінків і збору фотографій, повідомлень, електронних листів і точного місцезнаходження пристрою з пристрою жертви.
У своєму аналізі Lookout зазначив, що Hermit, який працює на всіх версіях Android, також намагається отримати рут-права на зараженому пристрої Android, надаючи собі ще більш глибокий доступ до даних жертви.
Lookout сказав, що цільові жертви отримують шкідливе посилання за допомогою текстових повідомлень. Далі вони завантажують та інсталюють шкідливий додаток, який маскується під законну фірмову програму для телефонної мережі або обміну повідомленнями.
Google заявив, що знайшов докази того, що в деяких випадках державні суб’єкти, які контролюють шпигунське програмне забезпечення, працювали з інтернет-провайдером жертви, щоб обірвати їхній мобільний зв’язок. Це, припускають вони, мало підштовхнути жертву завантажити вірус для відновлення зв’язку.
У Google також проаналізували зразок шпигунського програмного забезпечення Hermit, націленого на iPhone. Згідно з висновками Google, додаток Hermit iOS, зловживає сертифікатами розробників компанії Apple. Це дозволяє йому завантажувати шпигунське програмне забезпечення на пристрій жертви за межами магазину додатків App Store. Він містить шість різних експлойтів, два з яких ніколи раніше не бачили. Apple знала, що одна з таких уразливостей нульового дня активно використовувалася до того, як її було виправлено.
Google повідомила, що сповістила користувачів Android про заражені пристрої та оновила стандартний Android-антивірус Google Play Protect. Google також заявила, що вимкнула обліковий запис Firebase – шпигунського ПЗ, яке використовувалося для зв’язку із серверами.
Google не повідомляє, скільки користувачів Android він сповіщає.
Прес-секретар Apple Тревор Кінкейд повідомив, що Apple відкликала всі відомі облікові записи та сертифікати, пов’язані з Hermit.
Хоча невідомо, хто став мішенню урядів, які використовують Hermit, подібне мобільне шпигунське програмне забезпечення пов’язують зі стеженням за журналістами, активістами та правозахисниками.
