В Google рассказали о провайдерах, распространяющих шпионский вирус Hermit
Компания Google предупредила о новом шпионском программном обеспечении – вирусе Hermit, с помощью которого злоумышленники воровали конфиденциальные данные пользователей Android и iOS в Италии и Казахстане, пишет Engadget. 23 июня компания Threat Analysis Group (TAG) представила отчет по RCS Labs, коммерческому поставщику шпионского программного обеспечения из Италии. Жертв вируса обнаружили также в Казахстане.
Программа Hermit впервые была применена в 2019 году итальянскими властями в рамках антикоррупционной операции. RCS Labs утверждает, что сотрудничает только с государственными учреждениями и рекламирует свой продукт как "законную слежку".
Подписывайтесь на LIGA.Tech в Telegram: только важное
По данным Google, Hermit может заразить как устройства Android, так и iOS. В некоторых случаях исследователи компании наблюдали, как злоумышленники работают с целевым поставщиком интернет-услуг, чтобы отключить их подключение к передаче данных. Затем они посылали SMS-сообщение с предложением загрузить вирусную программу, чтобы восстановить соединение с интернетом. В других случаях вирус маскировали под WhatsApp или Instagram.
Особенно опасно в Hermit то, что он может получить дополнительные возможности, загружая модули с сервера командования и управления. Некоторые из них могли похищать данные из календаря и адресной книги жертвы, а также делать снимки с помощью камеры телефона. Один модуль даже дал шпионскому программному обеспечению возможность получить рут-права устройства Android.
Google считает, что Hermit никогда не попадал в магазины Play Store и App Store. Однако Google нашла доказательства того, что злоумышленники смогли распространять шпионское ПО на iOS, зарегистрировавшись в приложении Apple для разработчиков Enterprise. Apple сообщила The Verge, что все аккаунты или сертификаты, связанные с угрозой, уже заблокированы. Google уже известила пострадавших пользователей и выпустила обновление Protect для Google Play.