Google выяснил, что правительство Казахстана применяет против оппозиции кибератаки

Согласно исследованию, опубликованному Группой анализа угроз Google, шпионский вредоносный инструмент Hermit получает помощь от интернет-провайдеров, чтобы заставить пользователей загружать вредоносные приложения. Это подтверждает более ранние выводы исследовательской группы по безопасности Lookout, которая связала шпионское ПО Hermit с итальянским поставщиком софта RCS Labs.

Lookout говорит, что RCS Labs продает коммерческое шпионское ПО различным правительственным учреждениям. Исследователи из Lookout считают, что Hermit уже используется правительством Казахстана и властями Италии. Google выявил жертв в обеих странах и планирует сообщить им об этом.

Как описано в отчете Lookout, Hermit позволяет шпионскому ПО получать доступ к записям звонков, местоположению, фотографиям и текстовым сообщениям на устройстве жертвы. Hermit также может записывать аудио, совершать и перехватывать телефонные звонки, и даже получать root права на устройство Android, что дает ему полный контроль над основной операционной системой устройства.

Шпионский софт может заражать как Android, так и iPhone, маскируя себя под приложение оператора мобильной связи или SMS. Исследователи кибербезопасности Google обнаружили, что некоторые злоумышленники на самом деле работали с интернет-провайдерами, чтобы отключить мобильные данные жертвы для реализации своей схемы. Затем злоумышленники выдавали себя за мобильного оператора жертвы с помощью SMS и обманывали пользователей.

По словам Google, если злоумышленники не могли работать с интернет-провайдером, они выдавали себя за подлинные приложения для обмена сообщениями, которые обманным путем заставляли пользователей загружать.

Исследователи из Lookout и TAG говорят, что приложения c Hermit, никогда не были доступны в Google Play или Apple App Store. Однако злоумышленники смогли распространять зараженные приложения на iOS после регистрации в программе Apple Developer Enterprise Program. Это позволило обойти стандартный процесс проверки в App Store и получить сертификат безопасности, который и позволял запускаться шпионскому софту на устройствах Apple.

Компания Apple сообщила, что отозвала все учетные записи и сертификаты, связанные с угрозой. Помимо уведомления затронутых пользователей, Google также выпустил обновление Google Play Protect, которое должно защитить от подобных угроз.