Google выяснил, что правительство Казахстана применяет против оппозиции кибератаки
Согласно исследованию, опубликованному Группой анализа угроз Google, шпионскийвредоносный инструмент Hermit получает помощь от интернет-провайдеров, чтобызаставить пользователей загружать вредоносные приложения. Это подтверждаетболее ранние выводы исследовательской группы по безопасности Lookout, которая связала шпионское ПО Hermit с итальянским поставщиком софта RCS Labs.
Lookout говорит, что RCS Labs продает коммерческое шпионское ПО различнымправительственным учреждениям. Исследователи из Lookout считают, что Hermit ужеиспользуется правительством Казахстана и властями Италии. Google выявил жертв вобеих странах и планирует сообщить им об этом.
Как описано в отчете Lookout, Hermit позволяет шпионскому ПО получать доступк записям звонков, местоположению, фотографиям и текстовым сообщениям наустройстве жертвы. Hermit также может записывать аудио, совершать иперехватывать телефонные звонки, и даже получать root права на устройствоAndroid, что дает ему полный контроль над основной операционной системойустройства.
Шпионский софт может заражать как Android, так и iPhone, маскируя себя подприложение оператора мобильной связи или SMS. Исследователи кибербезопасностиGoogle обнаружили, что некоторые злоумышленники на самом деле работали синтернет-провайдерами, чтобы отключить мобильные данные жертвы для реализациисвоей схемы. Затем злоумышленники выдавали себя за мобильного оператора жертвыс помощью SMS и обманывали пользователей.
По словам Google, если злоумышленники не могли работать синтернет-провайдером, они выдавали себя за подлинные приложения для обменасообщениями, которые обманным путем заставляли пользователей загружать.
Исследователи из Lookout и TAG говорят, что приложения c Hermit, никогда небыли доступны в Google Play или Apple App Store. Однако злоумышленники смоглираспространять зараженные приложения на iOS после регистрации в программе AppleDeveloper Enterprise Program. Это позволило обойти стандартный процесс проверкив App Store и получить сертификат безопасности, который и позволял запускатьсяшпионскому софту на устройствах Apple.
Компания Apple сообщила, что отозвала все учетные записи и сертификаты,связанные с угрозой. Помимо уведомления затронутых пользователей, Google такжевыпустил обновление Google Play Protect, которое должно защитить от подобныхугроз.
Статья на ENG - https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/