Egyes internetszolgáltatók is érintettek lehetnek a Hermit nevű kémprogram terjesztésében

2022.06.27.
2 perc olvasás

Hivatalos forrásból ugyan nem lehetne telepíteni, a terjesztők találtak megoldást ennek megkerülésére.

A Google Thread Analysis Group legújabb kutatásából derül ki, hogy a vállalat jelentése szerint egyes internetszolgáltatók a terjesztőkkel együttműködve kapcsolják ki az áldozat mobiladatait, ezzel sebezhetővé téve őket.

A hírhedt Pegasus-botrány mellett az utóbbi időszakban a Hermit nevű kémprogram felbukkanását jelentették, az információk szerint pedig az olasz, illetve a kazah kormány is használta azt. Korábban a Lookout nevű biztonsági csoport a programot az RCS Labs nevű megfigyelő céghez kötötte, amely hasonló a korábban a magyar kormányt is botrányba hozó NSO Group csapatához, akik a Pegasus mögött állnak. A Hermit működését tekintve is hasonlít az említett programra.

A Lookout jelentésében leírtak szerint a Hermit egy moduláris fenyegetés, amely képes egy központi vezérlő szerverről adatokat letöltve folyamatosan fejlődni, új veszélyforrásokat jelentve ezzel az áldozat számára. Ez lehetővé teszi, hogy a kémprogram hozzáférjen az áldozat eszközén lévő híváslistákhoz, helymeghatározáshoz, fényképekhez és szöveges üzenetekhez. A Hermit emellett képes hangfelvételeket készíteni, telefonhívásokat kezdeményezni és lehallgatni, valamint rootolni egy Android-eszközt, ami teljes ellenőrzést biztosít számára az alapvető operációs rendszer felett.

A kémprogram úgy képes megfertőzni mind az Android, mind az iPhone készülékeket, hogy legitim forrásnak álcázza magát, jellemzően egy mobilszolgáltató vagy üzenetküldő alkalmazás formájában. A Google kiberbiztonsági kutatói megállapították, hogy egyes támadók valójában az internetszolgáltatókkal együttműködve leállították az áldozat adatforgalmát, ezután SMS-ben az áldozat mobilszolgáltatójának adták ki magukat, és azzal hitegették a felhasználókat, hogy egy, a Hermit kémprogramot tartalmazó fertőzött alkalmazás letöltésével helyreáll az internetkapcsolatuk. Ha a támadók nem tudtak együttműködni egy internetszolgáltatóval, a Google szerint látszólag hitelesnek tűnő üzenetküldő alkalmazásoknak adták ki magukat, amelyek letöltésére rávették a felhasználókat.

[rb_related title=”Ez is tetszhet” total=”2″ ids=”4130,6951″]

A Lookout és a TAG kutatói szerint a Hermitet tartalmazó alkalmazásokat soha nem tették elérhetővé a Google Play vagy az Apple App Store-on keresztül. A támadók azonban az Apple Developer Enterprise Programjába való beiratkozással tudtak fertőzött alkalmazásokat terjeszteni iOS-en. Ez lehetővé tette számukra, hogy megkerüljék az App Store szabványos átvilágítási folyamatát, és olyan tanúsítványt szerezzenek, amely megfelel az iOS elvárásainak bármilyen Apple eszközön.

Az Apple a The Verge-nek elmondta, hogy azóta visszavonta a fenyegetéssel kapcsolatos fiókokat és tanúsítványokat. A Google az érintett felhasználók értesítése mellett egy Google Play Protect frissítést is eljuttatott az összes felhasználóhoz.

Vélemény, hozzászólás?

Your email address will not be published.

Előző cikk

Több új játék is készül a From Softnál

Következő cikk

Új FPS-en dolgozik John Romero, az eredeti Doom dizájnere

UgrásFel

További olvasnivaló

A T-Mobile alkalmazásban egy hiba engedi, hogy lássuk mások számlainformációit

Ma a T-Mobile ügyfelei azt mondták, hogy a vállalat hivatalos

A Signal kvantumrezisztens titkosítást ad az E2EE üzenetküldő protokolljához

A Signal bejelentette, hogy végponttól végpontig tartó kommunikációs protokollját úgy