Lookout 的安全研究人员最近将一个以前未归属的 Android 移动间谍软件(称为 Hermit)与意大利软件公司 RCS Lab 联系起来。现在,谷歌威胁研究人员已经证实了 Lookout 的大部分发现,并正在通知其设备被间谍软件入侵的 Android 用户。
据 Lookout 和谷歌称,Hermit 是一种已知被政府使用的商业间谍软件,受害者在哈萨克斯坦和意大利。 Lookout 说它还看到了在叙利亚北部部署的间谍软件。间谍软件使用各种模块,根据需要从其命令和控制服务器下载这些模块,以收集通话记录、记录环境音频、重定向电话并从受害者的设备收集照片、消息、电子邮件和设备的精确位置。 Lookout在其分析中表示,可在所有 Android 版本上运行的 Hermit 还试图根植受感染的 Android 设备,从而使间谍软件能够更深入地访问受害者的数据。
Lookout 表示,目标受害者通过短信发送恶意链接,并被诱骗从应用商店外部下载和安装恶意应用——该恶意应用伪装成合法的品牌电信或消息传递应用。
根据周四发布并在发布前与 TechCrunch 分享的一篇新博客文章,谷歌表示,它发现证据表明,在某些情况下,控制间谍软件的政府行为者与目标的互联网提供商合作切断了他们的移动数据连接,这可能是以恢复连接为幌子诱骗目标下载以电信为主题的应用程序。
谷歌还分析了针对 iPhone 的 Hermit 间谍软件样本,Lookout 此前表示无法获得该样本。根据谷歌的调查结果,Hermit iOS 应用程序——它滥用 Apple 企业开发人员证书,允许间谍软件从应用程序商店外部加载到受害者的设备上——包含六种不同的漏洞利用,其中两个是前所未有的漏洞- 或零日 – 在他们发现的时候。 Apple 已知其中一个零日漏洞在修复之前已被积极利用。
据两家公司称,在应用商店中都没有发现 Android 和 iOS 版本的 Hermit 间谍软件。谷歌表示,它“已将受感染设备的 Android 用户通知给了 Android 用户”,并更新了 Android 内置的应用安全扫描程序 Google Play Protect,以阻止该应用运行。谷歌表示,它还关闭了间谍软件的 Firebase 帐户,该间谍软件用于与其服务器进行通信。
谷歌没有透露它通知了多少安卓用户。
当 TechCrunch 询问苹果是否停用了用于签署 iOS 版本间谍软件的企业证书,这将导致间谍软件无法工作时,苹果发言人没有发表评论。
Hermit 是已知由国家机构部署的最新政府级间谍软件。虽然目前尚不清楚政府使用 Hermit 的目标是谁,但由 NSO Group 和 Candiru 等黑客公司开发的类似移动间谍软件与监视记者、活动家和人权捍卫者有关。
在征求意见时,RCS Lab 提供了一份未署名的声明,其中部分内容如下:“RCS Lab 出口其产品符合国家和欧洲的法规和条例。任何产品的销售或实施只有在获得主管部门的正式授权后才能进行。我们的产品在获准客户的场所内交付和安装。 RCS Lab人员没有暴露,也没有参与相关客户进行的任何活动。”
您可以通过 Signal 和 WhatsApp 联系本记者,电话:+1 646-755-8849 或 [email protected] 发送电子邮件。
原文: https://techcrunch.com/2022/06/23/hermit-zero-day-android-spyware/