Влада Казахстану та Італії могли використовувати шпигунське програмне забезпечення Hermit для стеження за своїми громадянами. У розповсюдженні шкідливого софту підозрюють італійську компанію RCS Lab.
Група аналізу загроз Google та група аналізу уразливостей Project Zero виявили жертв шпигунського ПЗ в Італії та Казахстані на пристроях Android та iOS. Італійські офіційні особи також могли використали версію шпигунського ПЗ під час антикорупційного розслідування у 2019 році.
Як поширювали Hermit
Hermit поширюється за допомогою підробленого SMS, яке виглядає так, ніби повідомлення виходить із законного джерела — стільникового оператора My Vodafone та популярних брендів на зразок Samsung чи китайського Oppo. У текстовому повідомленні є посилання, перейшовши по якому на пристрій завантажується шкідлива програма.
В деяких випадках на iOS Google виявив, що зловмисники могли працювати з місцевими інтернет-провайдерами, щоб відключити мобільне підключення для передачі даних певного користувача, надіслати їм шкідливе посилання для завантаження SMS і переконати їх встановити підроблену програму My Vodafone. через Wi-Fi з обіцянкою, що це відновить їх стільниковий зв’язок.
Як вийшло завантажити шкідливу програму в магазин Apple
Зловмисники змогли поширити шкідливий додаток, тому що RCS Labs зареєструвалася в Apple Enterprise Developer Program, мабуть, через підставну компанію 3-1 Mobile SRL, щоб отримати сертифікат, який дозволяє їм завантажувати програми, не проходячи типовий для Apple процес перевірки AppStore.
Apple повідомила WIRED, що всі відомі облікові записи та сертифікати, пов’язані зі шпигунською кампанією, були відкликані.
Apple:
Корпоративні сертифікати призначені лише для внутрішнього використання компанією і не призначені для загального поширення додатків, оскільки їх можна використовувати для обходу захисту App Store та iOS. Незважаючи на жорсткий контроль та обмежений масштаб програми, зловмисники знайшли несанкціоновані способи доступу до неї, наприклад, купивши корпоративні сертифікати на чорному ринку