Власти Казахстана и Италии могли использовать шпионское программное обеспечение Hermit для слежки за своими гражданами. В распространении вредоносного софта подозревают итальянскую компанию RCS Lab.
Группа анализа угроз Google и группа анализа уязвимостей Project Zero обнаружили жертв шпионского ПО в Италии и Казахстане на устройствах Android и iOS. Итальянские официальные лица использовали версию шпионского ПО во время антикоррупционного расследования в 2019 году.
Согласно документам, опубликованным WikiLeaks, ещё в 2012 году RCS Lab была реселлером другого итальянского поставщика шпионского ПО HackingTeam, ныне известного как Memento Labs. Переписка между двумя компаниями показала, что RCS Lab взаимодействовала с военными и спецслужбами Пакистана, Чили, Монголии, Бангладеш, Вьетнама, Мьянмы и Туркменистана
Как распространяли Hermit
Hermit распространяется с помощью поддельного SMS, которое выглядит так, будто сообщение исходит из законного источника — сотового оператора My Vodafone и популярных брендов типа Samsung или китайского Oppo. В текстовом сообщении есть ссылка, перейдя по которой на устройство загружается вредоносная программа.
В некоторых случаях на iOS Google обнаружил, что злоумышленники могли работать с местными интернет-провайдерами, чтобы отключить мобильное подключение для передачи данных определенного пользователя, отправить им вредоносную ссылку для загрузки SMS и убедить их установить поддельное приложение My Vodafone. через Wi-Fi с обещанием, что это восстановит их сотовую связь.
Как получилось загрузить вредоносную программу в магазин Apple
Злоумышленники смогли распространить вредоносное приложение, потому что RCS Labs зарегистрировалась в Apple Enterprise Developer Program, видимо, через подставную компанию 3-1 Mobile SRL, чтобы получить сертификат, позволяющий им загружать приложения, не проходя типичный для Apple процесс проверки AppStore.
Apple сообщила WIRED, что все известные аккаунты и сертификаты, связанные со шпионской кампанией, были отозваны.
Apple:
Корпоративные сертификаты предназначены только для внутреннего использования компанией и не предназначены для распространения приложений, так как их можно использовать для обхода защиты App Store и iOS. Несмотря на жесткий контроль и ограниченный масштаб программы, злоумышленники обнаружили несанкционированные способы доступа к ней, например, купив корпоративные сертификаты на черном рынке.