Pesquisadores do Google Threat Analysis Group (GTAG) conduziram um estudo que revelou uma sofisticada campanha de hackers na qual os ISPs ajudaram os hackers a distribuir o spyware Hermit. O trabalho do Google confirma os resultados de um estudo anterior dos especialistas em segurança cibernética Lookout, que vinculou o spyware Hermit ao desenvolvedor italiano RCS Labs.
Fonte da imagem: Darwin Laganzon / pixabay.com
De acordo com a Lookout, a RCS Labs desenvolve spyware que vende para agências governamentais em todo o mundo. Especialistas identificaram sinais de que a ferramenta Hermit já foi usada pelo governo do Cazaquistão, bem como pelas autoridades italianas. Isso foi confirmado por especialistas do Google, que conseguiram identificar as vítimas da vigilância nos dois países mencionados e notificá-los sobre isso.
O relatório Lookout diz que o Hermit é uma ferramenta perigosa que, se necessário, pode carregar módulos adicionais para expandir seus próprios recursos. O software pode ser usado para obter acesso a registros de chamadas, localização do dispositivo, fotos e vídeos, mensagens de texto e outras informações armazenadas no dispositivo da vítima. O Hermit também pode gravar e interceptar chamadas, além de obter direitos de superusuário no dispositivo, o que dá controle total sobre o sistema operacional.
Note-se que o software Hermit pode ser usado para realizar ataques contra usuários de dispositivos baseados em Android e iOS. Geralmente se disfarça como um aplicativo legítimo de uma operadora de celular ou mensageiro. Especialistas do Google descobriram que, em alguns casos, os invasores trabalharam em conjunto com provedores locais que bloquearam a conexão com a Internet para as vítimas, o que é necessário para a implementação do esquema de injeção de malware nos dispositivos. Depois que a Internet foi desconectada, os invasores, disfarçados de provedor, entraram em contato com as vítimas e as persuadiram a instalar um aplicativo supostamente legítimo, que, segundo eles, ajudaria a restaurar a conexão com a Internet.
De acordo com GTAG e Lookout, o software Hermit nunca foi distribuído por meio de fontes oficiais, como as lojas de conteúdo digital Google Play Store e Apple App Store. No entanto, os invasores conseguiram distribuir malware para iOS participando do Apple Developer Enterprise Program. A participação no programa mencionado nos permitiu contornar o processo padrão de verificação de aplicativos na App Store e receber um certificado de conformidade com os requisitos do site. No momento, a Apple já revogou certificados emitidos e contas bloqueadas associadas ao Hermit.