De acuerdo con los investigadores de Google Threat Analysis Group (TAG), Benoit Sevens y Clement Lecigne, así como Project Zero, está en circulación una variante distinta de spyware para iOS y Android de nivel gubernamental y empresarial. Se sabes que las víctimas han sido localizadas en Italia y Kazajistán.
El spyware, llamado Hermit, es un software de vigilancia modular. Luego de analizar 16 de los 25 módulos conocidos, los investigadores de seguridad cibernética de Lookout concluyeron que el malware intenta rootear los dispositivos. Y que tiene características que incluyen: grabar audio, redirigir o hacer llamadas telefónicas, robar grandes cantidades de información como mensajes SMS, registros de llamadas, listas de contactos, fotos y extracción de datos de ubicación GPS.
¿Qué más se sabe sobre este spyware dirigido a Android e iOS?
Esto es lo que se halló en el análisis de Lookout que fue publicado el 16 de junio:
- Los investigadores sugieren que el spyware se envía a través de mensajes SMS maliciosos.
- La conclusión de TAG es similar, el spyware envía enlaces únicos a un objetivo disfrazados de mensajes enviados por un proveedor de servicios de Internet (ISP) o una app de mensajería. De acuerdo con Google: “En algunos casos, creemos que los actores trabajaron con el ISP del objetivo para deshabilitar la conectividad de datos móviles del objetivo. Una vez deshabilitado, el atacante enviaría un enlace malicioso a través de SMS pidiéndole al objetivo que instale una aplicación para recuperar su conectividad de datos”.
- El equipo de Lookout solo pudo asegurar una versión de Android de Hermit, pero la contribución de Google ha agregado una muestra de iOS a la investigación.
- Hay que señalar que ninguna muestra se encontró en los repositorios oficiales de apps de Google o Apple. Sin embargo, las aplicaciones cargadas de spyware se descargaron de hosts de terceros.
Así funciona el Spyware en Android e iOS
Esto es lo que se determinó en la muestra de Android que recolectó Lookout:
- La muestra de Android necesita que la víctima descargue una APK después de permitir la instalación de apps móviles de fuentes desconocidas. Aquí el malware se disfrazó como una aplicación de Samsung y utilizó Firebase para establecer su infraestructura de comando y control (C2).
- De acuerdo con los investigadores: “Si bien el APK en sí no contiene ningún exploit, el código sugiere la presencia de exploits que podrían descargarse y ejecutarse”.
- Google notificó a los usuarios de Android afectados por la aplicación. También realizó cambios en Google Play Protect para proteger a los usuarios de las actividades maliciosas. Además, deshabilitó los proyectos de Firebase asociados con el software espía.
Por otro lado, esto fue lo que se halló en la muestra recolectada por Google del spyware para dispositivos iOS:
- La muestra de iOS, firmada con un certificado obtenido del Apple Developer Enterprise Program, presentaba un exploit de escalada de privilegios que podría ser activado por seis vulnerabilidades.
- Estas eran las cuatro que se conocían: CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907. Y estas otras dos: CVE-2021-30883 y CVE-2021-30983. Todas estas eran sospechosas de haber sido explotadas, incluso en días cero antes de que Apple las parcheara en diciembre de 2021. La compañía también revocó los certificados asociados con la campaña Ermitaño.
Google y Lookout sobre el origen de este spyware
Google y Lookout comentan que el spyware podría atribuirse a RCS Lab, una empresa italiana en funcionamiento desde 1993.
RCS Lab señaló que la empresa “exporta sus productos de conformidad con las normas y reglamentos nacionales y europeos. Y cualquier venta o implementación de productos se realiza solo después de recibir una autorización oficial de las autoridades competentes”.
Esto nos demuestra que la circulación de Hermit destaca un problema más amplio: la próspera industria del spyware y la vigilancia digital.
La semana pasada, Google testificó en la audiencia del Comité Parlamentario de Investigación de la UE sobre el uso de Pegasus y otro software espía de grado comercial. Esperamos que Google siga contribuyendo en este tipo de investigaciones y consiga grandes resultados.