Google affirme que les attaquants ont travaillé avec les FAI pour déployer le logiciel espion Hermit sur Android et iOS

Une campagne sophistiquée de logiciels espions obtient l’aide de fournisseurs de services Internet (FAI) pour inciter les utilisateurs à télécharger des applications malveillantes, selon recherche publiée par le groupe d’analyse des menaces de Google (TAG) (via Tech Crunch). Cela corrobore plus tôt conclusions du groupe de recherche sur la sécurité Lookoutqui a lié le logiciel espion, surnommé Hermit, au fournisseur italien de logiciels espions RCS Labs.

Lookout affirme que RCS Labs est dans la même ligne de travail que NSO Group – la tristement célèbre société de surveillance à l’origine du logiciel espion Pegasus – et vend des logiciels espions commerciaux à diverses agences gouvernementales. Les chercheurs de Lookout pensent que Hermit a déjà été déployé par le gouvernement du Kazakhstan et les autorités italiennes. Conformément à ces conclusions, Google a identifié des victimes dans les deux pays et indique qu’il informera les utilisateurs concernés.

Comme décrit dans le rapport de Lookout, Hermit est une menace modulaire qui peut télécharger des fonctionnalités supplémentaires à partir d’un serveur de commande et de contrôle (C2). Cela permet au logiciel espion d’accéder aux enregistrements d’appels, à l’emplacement, aux photos et aux messages texte sur l’appareil de la victime. Hermit est également capable d’enregistrer de l’audio, de passer et d’intercepter des appels téléphoniques, ainsi que de rooter un appareil Android, ce qui lui donne un contrôle total sur son système d’exploitation principal.

Le logiciel espion peut infecter à la fois Android et iPhone en se faisant passer pour une source légitime, prenant généralement la forme d’un opérateur de téléphonie mobile ou d’une application de messagerie. Les chercheurs en cybersécurité de Google ont découvert que certains attaquants travaillaient en fait avec des FAI pour désactiver les données mobiles d’une victime afin de poursuivre leur stratagème. Les acteurs malveillants se feraient alors passer pour l’opérateur mobile de la victime par SMS et inciteraient les utilisateurs à croire qu’un téléchargement d’application malveillante restaurera leur connectivité Internet. Si les attaquants n’étaient pas en mesure de travailler avec un FAI, Google affirme qu’ils se faisaient passer pour des applications de messagerie apparemment authentiques qu’ils incitent les utilisateurs à télécharger.

Les chercheurs de Lookout et TAG affirment que les applications contenant Hermit n’ont jamais été mises à disposition via Google Play ou Apple App Store. Cependant, les attaquants ont pu distribuer des applications infectées sur iOS en s’inscrivant au programme Developer Enterprise d’Apple. Cela a permis aux acteurs malveillants de contourner le processus de vérification standard de l’App Store et d’obtenir un certificat qui « satisfait à toutes les exigences de signature de code iOS sur tous les appareils iOS ».

Apple a dit Le bord qu’il a depuis révoqué tous les comptes ou certificats associés à la menace. En plus d’informer les utilisateurs concernés, Google a également envoyé une mise à jour de Google Play Protect à tous les utilisateurs.

source site-132