| 27 июня 2022 г. — 18:45 PT
Threat Analysis Group (TAG) от Google, группа, специализирующаяся на отслеживании и анализе хакерских атак, спонсируемых государством, недавно опубликовала исследование о «Hermit» — шпионском ПО, которое может компрометировать устройства Android и iOS. К счастью, Apple уже нашла способ остановить распространение этого конкретного шпионского ПО на своих устройствах.
Как сообщается в официальном блоге TAG (через TechCrunch), группа подтвердила существование шпионского ПО Hermit, созданного итальянской компанией RCS Lab для атак на пользователей iOS и Android. На обеих платформах шпионское ПО распространялось за пределами App Store и Google Play благодаря процессу сайдлоадинга.
Более конкретно, злоумышленники отправляют текстовое сообщение с вредоносной ссылкой, обманывая жертв и убеждая их скачать и установить приложение. В то время как Android позволяет любому пользователю легко устанавливать приложения из-за пределов App Store, процесс на iOS немного сложнее — но все же не невозможен.
Поскольку Apple предлагает специальные сертификаты для компаний, позволяющие распространять корпоративные приложения среди своих сотрудников вне App Store, RCS распространяла свое поддельное приложение среди пользователей iOS как корпоративное приложение. Шпионское ПО маскировалось под легитимное приложение телекоммуникационной компании или мессенджер. Эти приложения работают в тех же песочницах, что и приложения из App Store, поэтому они не могут получить доступ к внутренним системным файлам или пользовательским данным без разрешения.
Однако, поскольку корпоративные приложения не проверяются Apple, им легче использовать уязвимости в iOS. После установки шпионского ПО на устройство жертвы оно может записывать звук с микрофона, перенаправлять телефонные звонки, собирать фотографии, сообщения, электронные письма и даже определять текущее местоположение устройства.
Исследования выявили жертв шпионского ПО в Италии и Казахстане, а компания Lookout (первая компания, сообщившая о шпионском ПО Hermit) утверждает, что оно также использовалось в Сирии.
Кто является целями шпионского ПО Hermit?
На данный момент конкретные цели шпионского ПО Hermit остаются неясными, но есть свидетельства того, что RCS Lab продавала шпионское ПО «спонсируемым государством субъектам». Hermit, вероятно, используется аналогично шпионскому ПО NSO Pegasus, которое позволяет авторитарным правительствам следить за журналистами, политическими оппонентами, активистами и правозащитниками.
Даже если это шпионское ПО не нацелено на обычных пользователей, его существование все равно представляет огромную угрозу безопасности и конфиденциальности людей. В прошлом году Apple подала иск против NSO Group, утверждая, что организация тратит миллионы долларов на взлом системы безопасности iOS и подвергает пользователей опасности.
Apple остановила распространение шпионского ПО Hermit
На данный момент Apple нашла способ остановить распространение шпионского ПО Hermit. Представитель компании заявил, что все известные учетные записи и сертификаты, связанные с этим шпионским ПО, были отозваны, поэтому вредоносное приложение больше не может распространяться за пределами App Store.
Конечно, это не означает, что пользователи iOS полностью защищены от этой угрозы. Как и NSO Group, RCS Lab все еще может найти другой способ использовать уязвимости iOS для распространения своего шпионского ПО. Лучший совет для любого пользователя смартфона — никогда не переходить по неизвестным ссылкам и никогда не устанавливать приложения из неизвестного источника.