Um relatório do Google alertou nesta quinta-feira (23) para um spyware de nível empresarial, o Hermit, que mira usuários de smartphones iOS e Android. As vítimas foram localizadas pelo TAG (Google Threat Analysis Group), grupo responsável pelo relatório, na Itália e no Cazaquistão. Uma variante do spyware ainda está em circulação ativa.
Desenvolvido pela empresa italiana RCS Lab, com sede em Milão, o Hermit é um software de vigilância modular. De acordo com o Google, o malware tenta fazer um root (ter acesso de administrador) nos smartphones e assumir recursos como gravação de áudios, redirecionamento e realização de chamadas telefônicas, visualização de senhas e exfiltração de dados de localização GPS.
O spyware é enviado por meio de mensagens SMS maliciosas ou um aplicativo de mensagens. Segundo o Google, em alguns casos, os atores trabalharam com o provedor de serviços de internet do alvo para desativar a conectividade de dados móveis. Com a desativação, o invasor enviaria um link malicioso por SMS solicitando à vítima que instalasse um app para recuperar a conectividade.
Leia mais:
- Ao menos 5 países europeus usaram o Pegasus, admite empresa que criou spyware espião
- Candiru: não é o peixe, é um grupo israelense de cibercriminosos numa onda de ataques globais
- Google remolve stalkerware, apps espiões para cônjuges ciumentos e abusivos
Na amostra do Android, é exigido do alvo que baixe um .apk após permitir a instalação de um aplicativo. O malware se disfarçou como um aplicativo da Samsung e usou o Firebase como parte da infraestrutura de comando e controle (C2).
O Google notificou os usuários do Android afetados pelo aplicativo e fez alterações no Google Play Protect para defender os usuários das atividades maliciosas. Além disso, os projetos do Firebase, associados ao spyware italiano, foram desativados.
Funcionamento no iOS
Já no iOS, a amostra do Hermit era assinada com um certificado do programa de desenvolvimento da Apple. Ela continha uma exploit de escalonamento de privilégios que explorava seis vulnerabilidades.
Quatro (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837 e CVE-2020-9907) já eram conhecidas. Outras duas (CVE-2021-30883 e CVE-2021-30983) eram suspeitas de explorar uma Zero Day (falha ainda não descoberta pelos desenvolvedores de sistema) antes de a Apple corrigi-las em dezembro do ano passado. A fabricante de iPhones também revogou os certificados associados à campanha do Hermit.
Ao Tech Crunch, a RCS Lab disse que “exporta seus produtos em conformidade com as leis e os regulamentos nacionais e europeus”. Segundo a empresa, “qualquer venda ou implementação de produtos é realizada somente após receber autorização oficial das autoridades competentes”.
A circulação do Hermit, no entanto, destaca uma questão mais ampla: a exploração de spywares por governos para vigilância digital. Segundo Charley Snyder, chefe de política de cibersegurança do Google, embora seu uso seja legal, “eles são usados frequentemente por governos para fins antiéticos aos valores democráticos, mirando jornalistas, dissidentes, trabalhadores de direitos humanos e políticos”.
Crédito da imagem principal: Shawn Hill/Shutterstock
Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!
Tags: