spyware rcs labs android ios igizmo
playit

Secondo una ricerca pubblicata dal Threat Analysis Group (TAG) di Google (pubblicata tramite TechCrunch), una sofisticata campagna di spyware starebbe ottenendo l’aiuto dei provider di servizi Internet (ISP) per indurre gli utenti a scaricare app dannose. Ciò corrobora i risultati precedenti del gruppo di ricerca sulla sicurezza Lookout, che ha collegato lo spyware soprannominato Hermit allo sviluppatore italiano RCS Labs, di cui vi abbiamo dato approfondita notizia in questo articolo.

Lookout afferma che RCS Labs è nello stesso gruppo di lavoro di NSO Group, la società di sorveglianza che ha sviluppato lo spyware Pegasus, e propone spyware di alto profilo come attività commerciale rivolta a varie agenzie governative. I ricercatori di Lookout ritengono che Hermit sia già stato schierato dal governo del Kazakistan e dalle autorità italiane. In linea con questi risultati, Google ha identificato le vittime in entrambi i paesi e afferma che informerà gli utenti interessati.

Come descritto nel rapporto di Lookout, Hermit è una minaccia modulare che può scaricare funzionalità aggiuntive da un server di comando e controllo (C2). Ciò consente allo spyware di accedere ai record delle chiamate, alla posizione, alle foto e ai messaggi di testo sul dispositivo della vittima. Hermit è anche in grado di registrare audio, effettuare e intercettare telefonate, nonché eseguire il root su un dispositivo Android, che gli dà il pieno controllo sul suo sistema operativo principale.

Lo spyware può infettare Android e iPhone facendosi passare come fonte legittima, assumendo in genere la forma di un operatore di telefonia mobile o di un’app di messaggistica. I ricercatori di sicurezza informatica di Google hanno scoperto che alcuni aggressori hanno effettivamente collaborato con gli ISP per disattivare i dati mobili di una vittima per promuovere il loro piano. I malintenzionati si atteggiano quindi a operatore di telefonia mobile di una vittima tramite SMS e inducono gli utenti a credere che il download di un’app dannosa ripristinerà la loro connettività Internet. Se gli aggressori non erano in grado di lavorare con un ISP, Google afferma che si atteggiavano a app di messaggistica apparentemente autentiche che inducevano gli utenti a scaricare.

I ricercatori di Lookout e TAG affermano che le app contenenti Hermit non sono mai state rese disponibili tramite Google Play o Apple App Store. Tuttavia, gli aggressori sono stati in grado di distribuire app infette su iOS iscrivendosi al programma Developer Enterprise di Apple. Ciò ha consentito ai malintenzionati di aggirare il processo di verifica standard dell’App Store e ottenere un certificato che “soddisfa tutti i requisiti di firma del codice iOS su qualsiasi dispositivo iOS”.

Apple ha revocato qualsiasi account o certificato associato alla minaccia. Oltre a notificare gli utenti interessati, Google ha anche inviato un aggiornamento di Google Play Protect a tutti gli utenti.