Los investigadores encontraron usuarios afectados en Italia y Kazajstán
Una sofisticada campaña de spyware está recibiendo la ayuda de proveedores de servicios de Internet (ISP) para engañar a los usuarios para que descarguen aplicaciones maliciosas, según una investigación publicada por Threat Analysis Group (TAG) de Google (a través de TechCrunch ). Esto corrobora hallazgos anteriores del grupo de investigación de seguridad Lookout , que vinculó el software espía, denominado Hermit, con el proveedor italiano de software espía RCS Labs.
Lookout dice que RCS Labs está en la misma línea de trabajo que NSO Group, la infame compañía de vigilancia por contrato detrás del software espía Pegasus , y vende software espía comercial a varias agencias gubernamentales. Los investigadores de Lookout creen que Hermit ya ha sido desplegado por el gobierno de Kazajstán y las autoridades italianas. De acuerdo con estos hallazgos, Google ha identificado víctimas en ambos países y dice que notificará a los usuarios afectados.
Como se describe en el informe de Lookout, Hermit es una amenaza modular que puede descargar capacidades adicionales desde un servidor de comando y control (C2). Esto permite que el spyware acceda a los registros de llamadas, ubicación, fotos y mensajes de texto en el dispositivo de la víctima. Hermit también puede grabar audio, hacer e interceptar llamadas telefónicas, así como rootear un dispositivo Android, lo que le da control total sobre su sistema operativo central.
El software espía puede infectar tanto a Android como a iPhone disfrazándose de una fuente legítima, por lo general adoptando la forma de un operador de telefonía móvil o una aplicación de mensajería. Los investigadores de seguridad cibernética de Google descubrieron que algunos atacantes en realidad trabajaron con los ISP para desconectar los datos móviles de una víctima para promover su esquema. Los malos actores se harían pasar por el operador de telefonía móvil de la víctima a través de SMS y engañarían a los usuarios haciéndoles creer que la descarga de una aplicación maliciosa restaurará su conectividad a Internet. Si los atacantes no pudieron trabajar con un ISP, Google dice que se hicieron pasar por aplicaciones de mensajería aparentemente auténticas que engañaron a los usuarios para que las descargaran.
Los investigadores de Lookout y TAG dicen que las aplicaciones que contienen Hermit nunca estuvieron disponibles a través de Google Play o Apple App Store. Sin embargo, los atacantes pudieron distribuir aplicaciones infectadas en iOS inscribiéndose en el programa Developer Enterprise de Apple. Esto permitió a los malos actores eludir el proceso de investigación estándar de la App Store y obtener un certificado que "satisface todos los requisitos de firma de código iOS en cualquier dispositivo iOS".
Apple le dijo a The Verge que desde entonces ha revocado cualquier cuenta o certificado asociado con la amenaza. Además de notificar a los usuarios afectados, Google también envió una actualización de Google Play Protect a todos los usuarios.
Historias relacionadas :
Nuevo malware llamado 'Escobar ' puede hackear sus teléfonos inteligentes y má
AbstractEmu : Malware-de-Android-está-fuera de control en su teléfono.
Android: Advertencia sobre malware FluBot
SharkBot : el nuevo troyano bancario descubierto en la app antivirus Play Store
[Fuente]: theverge.com
William Hook.(25 de junio de 2022).iOS 16. Modificado por Carlos Zambrado Recuperado unsplash.com