Una sofisticada campaña de spyware está obteniendo la ayuda de los proveedores de servicios de Internet (ISP) para engañar a los usuarios para que descarguen aplicaciones maliciosas, según una investigación publicada por el Grupo de Análisis de Amenazas (TAG) de Google (a través de TechCrunch). Esto corrobora los hallazgos anteriores del grupo de investigación de seguridad Lookout, que ha vinculado el spyware, apodado Hermit, con el proveedor italiano de spyware RCS Labs.
Lookout dice que RCS Labs está en la misma línea de trabajo que NSO Group, la infame compañía de vigilancia de alquiler detrás del spyware Pegasus, y vende spyware comercial a varias agencias gubernamentales. Los investigadores de Lookout creen que Hermit ya ha sido desplegado por el gobierno de Kazajstán y las autoridades italianas. En línea con estos hallazgos, Google ha identificado víctimas en ambos países y dice que notificará a los usuarios afectados.
Como se describe en el informe de Lookout, Hermit es una amenaza modular que puede descargar capacidades adicionales desde un servidor de comando y control (C2). Esto permite que el spyware acceda a los registros de llamadas, la ubicación, las fotos y los mensajes de texto en el dispositivo de la víctima. Hermit también puede grabar audio, hacer e interceptar llamadas telefónicas, así como rootear un dispositivo Android, lo que le da un control total sobre su sistema operativo principal.
LAS APLICACIONES QUE CONTENÍAN HERMIT NUNCA ESTUVIERON DISPONIBLES A TRAVÉS DE GOOGLE PLAY O APPLE APP STORE.
El spyware puede infectar tanto Android como iPhones disfrazándose de una fuente legítima, generalmente tomando la forma de un operador móvil o una aplicación de mensajería. Los investigadores de ciberseguridad de Google descubrieron que algunos atacantes en realidad trabajaban con los ISP para desactivar los datos móviles de una víctima para promover su esquema. Los malos actores se harían pasar por el operador de telefonía móvil de una víctima a través de SMS y engañarían a los usuarios para que creyeran que una descarga de aplicaciones maliciosas restaurará su conectividad a Internet. Si los atacantes no pudieron trabajar con un ISP, Google dice que se hicieron pasar por aplicaciones de mensajería aparentemente auténticas que engañaron a los usuarios para que descargaran.
Los investigadores de Lookout y TAG dicen que las aplicaciones que contienen Hermit nunca estuvieron disponibles a través de Google Play o Apple App Store. Sin embargo, los atacantes pudieron distribuir aplicaciones infectadas en iOS inscribiéndose en el Programa Developer Enterprise de Apple. Esto permitió a los malos actores eludir el proceso de investigación estándar de la App Store y obtener un certificado que “satisface todos los requisitos de firma de código de iOS en cualquier dispositivo iOS”.
Apple dijo que desde entonces ha revocado cualquier cuenta o certificado asociado con la amenaza. Además de notificar a los usuarios afectados, Google también ha enviado una actualización de Google Play Protect a todos los usuarios.
