Google ha avvisato che utenti in Italia e Kazakistan sono stati presi di mira da Hermit, uno spyware sofisticato e modulare del fornitore italiano RCS Labs. Questo malware non solo può rubare dati ma anche registrare ed effettuare chiamate.
Secondo i ricercatori di Google Threat Analysis Group (TAG) che hanno divulgato i dettagli in un post sul blog, tutte le campagne osservate hanno avuto origine con un link univoco inviato al target. Una volta cliccata, la pagina ha tentato di convincere l’utente a scaricare e installare un’applicazione dannosa su Android o iOS. In alcuni casi, secondo gli esperti, gli attori malevoli hanno collaborato con l’ISP del target per disabilitare la connettività dati mobile del target che, una volta disabilitato, l’attaccante inviava un collegamento dannoso tramite SMS chiedendo al bersaglio di installare un’applicazione per recuperare la connettività dei dati.
Gli esperti ritengono che questo sia il motivo per cui la maggior parte delle applicazioni è mascherata da applicazioni di operatori mobili. Nel caso in cui il coinvolgimento dell’ISP non è possibile, le applicazioni vengono mascherate da applicazioni di messaggistica. Nessuna delle app false, tuttavia, è stata trovata sui rispettivi app store mobili di Apple o Google.
La pagina, in italiano, chiede all’utente di installare una di queste applicazioni per recuperare il proprio account. Solo i link per il download di WhatsApp puntano a contenuti controllati dagli aggressori per utenti Android e iOS.
Queste capacità sono state attribuite al noto fornitore di software di sorveglianza RCS Labs – in precedenza collegato all’attività spyware impiegata da un agente del governo del Kazakistan contro obiettivi nazionali – che utilizza una combinazione di tattiche, inclusi i download drive-by atipici come vettori di infezione iniziali, per prendere di mira gli utenti mobili sia su iOS che su Android.
In un a post sul blog di Ian Beer di Google Project Zero i ricercatori hanno descritto un caso in cui hanno scoperto quella che sembrava essere un’app iOS di Vodafone ma che in realtà è un’app falsa. Gli aggressori stanno inviando un collegamento a questa app dannosa tramite SMS per cercare di ingannare i bersagli facendogli scaricare lo spyware Hermit.
“L’SMS afferma che per ripristinare la connettività dati mobile, il target deve installare l’app dell’operatore e include un collegamento per scaricare e installare questa falsa app”.
Per distribuire l’applicazione iOS, gli aggressori hanno semplicemente seguito le istruzioni Apple su come distribuire app interne proprietarie ai dispositivi Apple e hanno utilizzato il protocollo itms-services con un determinato file manifest e utilizzando com.ios.Carrier come identificatore.
Queste app vengono eseguite all’interno del sandbox delle app iOS e sono soggette agli stessi meccanismi tecnici di tutela della privacy e della sicurezza di qualsiasi app dell’App Store. Possono, tuttavia, essere caricate lateralmente su qualsiasi dispositivo e non è necessario installarle tramite l’App Store.
L’app analizzata dai ricercatori conteneva anche i seguenti exploit: CVE-2018-4344 denominato internamente e pubblicamente noto come LightSpeed; CVE-2019-8605 internamente denominato SockPort2 e pubblicamente noto come SockPuppet; CVE-2020-3837 denominato internamente e pubblicamente noto come TimeWaste; CVE-2020-9907 internamente denominato AveCesare; CVE-2021-30883 internamente denominato Clicked2, contrassegnato come sfruttato in natura da Apple nell’ottobre 2021; CVE-2021-30983 internamente denominato Clicked3, risolto da Apple nel dicembre 2021.
Tutti gli exploit utilizzati prima del 2021 si basano su exploit pubblici scritti da diverse comunità di jailbreak, hanno aggiunto i ricercatori.
“Valutiamo, sulla base dell’ampio corpus di ricerche e analisi di TAG e Project Zero, che l’industria dello spyware commerciale stia prosperando e stia crescendo a un ritmo significativo. Questa tendenza dovrebbe riguardare tutti gli utenti di Internet. Questi fornitori stanno consentendo la proliferazione di strumenti di hacking pericolosi e armando i governi che non sarebbero in grado di sviluppare queste capacità internamente”, scrivono gli esperti nella loro analisi.
https://threatpost.com/google-hermit-spyware-android-ios/180062/