Google рассказал о вирусе, который похищал данные и делал снимки на камеру. Жертвы – пользователи Android и iOS

Анастасія Сімонова

Редактор новин в MC.today

Google предупреждает о новом сложном шпионском программном обеспечении, вирусе Hermit. Благодаря ему злоумышленники воровали конфиденциальные данные пользователей Android и iOS в Италии и Казахстане. Об этом пишет Engadget.

7 порад, які допоможуть захистити компанію від кібератак

Что случилось 

В четверг компания Threat Analysis Group (TAG) поделилась выводами по RCS Labs – коммерческому поставщику шпионского программного обеспечения из Италии.

16 июня эксперты по безопасности Lookout связали фирму с программой Hermit. Это программа-шпион, которую впервые развернули в 2019 году итальянские власти в рамках антикоррупционной операции. В то же время RCS Labs утверждает, что сотрудничает только с государственными учреждениями и рекламирует свой продукт как «законную слежку».

Как работает Hermit

По данным Google, Hermit может заразить как устройства Android, так и iOS. В некоторых случаях исследователи компании наблюдали, как злоумышленники работают с целевым поставщиком интернет-услуг, чтобы отключить у них передачу данных. 

Затем они посылали SMS-сообщения с предложением загрузить программное обеспечение, чтобы возобновить интернет-соединение. Если это не получалось, шпионское программное обеспечение пытались замаскировать под WhatsApp или Instagram.

Особенно опасно в Hermit то, что он может получить дополнительные возможности, загружая модули с сервера командования и управления. Некоторые из приложений, за которыми следила Lookout, позволяли программе похищать данные из календаря и адресной книги цели, а также делать снимки с помощью камеры их телефона.

Один модуль даже дал шпионскому программному обеспечению возможность получить root-права на устройство Android. Это специальный аккаунт, владелец которого имеет право совершать любые сделки.

Был ли Hermit в Play Store и App Store

Google считает, что Hermit никогда не попадал в магазины Play Store и App Store. Однако компания нашла доказательства того, что злоумышленники смогли распространять шпионское ПО на iOS, зарегистрировавшись в приложении Apple для разработчиков Enterprise.

Apple сообщила The Verge, что с тех пор заблокировала все аккаунты или сертификаты, связанные с угрозой. Тем временем Google известила пострадавших пользователей и выпустила обновления для Google Play Protect.