Google affirme que les attaquants ont collaboré avec des fournisseurs de services Internet pour diffuser le logiciel espion Hermit sur Android et iOS

Selon un rapport publié par le Threat Analysis Group (TAG) de Google, des logiciels espions sophistiqués ont obtenu l'aide de fournisseurs d'accès Internet (FAI) pour inciter les utilisateurs à télécharger des applications malveillantes.

Juil 1, 2022 - 21:31
 0
Google affirme que les attaquants ont collaboré avec des fournisseurs de services Internet pour diffuser le logiciel espion Hermit sur Android et iOS

Selon un rapport publié par le Threat Analysis Group (TAG) de Google, des logiciels espions sophistiqués ont obtenu l'aide de fournisseurs d'accès Internet (FAI) pour inciter les utilisateurs à télécharger des applications malveillantes.

Celles-ci corroborent les conclusions antérieures du groupe de recherche sur la sécurité Lookout, qui a lié le logiciel espion, appelé Hermit, au fournisseur italien de logiciels espions RCS Labs.

Lookout affirme que RCS Labs est dans le même secteur d'activité que NSO Group - la célèbre société de surveillance pour compte d'autrui derrière le logiciel espion Pegasus - et vend des logiciels espions commerciaux à diverses agences gouvernementales.

Les chercheurs de Lookout pensent que Hermit a déjà été déployé par le gouvernement du Kazakhstan et les autorités italiennes. Conformément à ces conclusions, Google a identifié des victimes dans les deux pays et a déclaré qu'il informerait les utilisateurs concernés.

Comme décrit dans le rapport Lookout, Hermit est une menace typique qui peut télécharger des plug-ins à partir d'un serveur (C2). Cela permet au logiciel espion d'accéder aux journaux d'appels, à l'emplacement, aux photos et aux messages texte sur l'appareil de la victime.

Hermit est également capable d'enregistrer de l'audio, de passer et d'intercepter des appels téléphoniques, ainsi que d'accéder au composant principal d'un appareil Android, lui donnant un contrôle total sur son système d'exploitation sous-jacent.

Les logiciels espions peuvent infecter les appareils Android et iPhone en se faisant passer pour une source légitime, généralement sous la forme d'un opérateur ou d'une application de messagerie.

Les chercheurs de Google en cybersécurité ont découvert que certains attaquants avaient déjà travaillé avec des FAI pour désactiver les données mobiles de la victime afin de poursuivre leur stratagème.

Ensuite, les attaquants peuvent prétendre être les opérateurs mobiles de la victime via SMS et faire croire aux utilisateurs que le téléchargement d'une application malveillante les reconnectera à Internet.

Les chercheurs de Lookout et TAG affirment que les applications contenant Hermit n'ont jamais été mises à disposition via le Google Play Store ou l'App Store.

Cependant, les attaquants ont pu distribuer des applications infectées sur iOS en s'inscrivant au programme Apple Developer Enterprise.

Cela a permis aux attaquants de contourner le processus d'inspection standard de l'App Store et d'obtenir un certificat qui "répond à toutes les exigences iOS sur tous les appareils iOS".