Hermit spyware

W ostatnim czasie głośno było na temat Pegasusa – oprogramowania szpiegowskiego, atakującego telefony komórkowe pracujące zarówno na Androidzie, jak i na iOS. Do infekcji dochodziło zwykle za pośrednictwem poczty elektronicznej lub komunikatora internetowego. Warto jednak wiedzieć, że nie tylko Pegasus jest groźny. Równie niebezpiecznym szkodnikiem jest Hermit – podobne do Pegasusa oprogramowanie szpiegujące, które – tak samo jak Pegasus – atakuje urządzenia iPhone i Android.

Jak Hermit spyware dostaje się na urządzenie i co dokładnie robi? Dowiedz się, jak udało mu się ominąć zabezpieczenia zarówno Apple, jak i Google.

Co to jest Hermit Spyware?

Hermit to oprogramowanie szpiegujące (spyware) opracowane przez włoskiego komercyjnego dostawcę oprogramowania szpiegującego RCS Lab, które jest w stanie potajemnie instalować się na telefonach komórkowych z systemem iOS i Android. Uważa się, że jak dotąd atakowało iPhone’y i urządzenia z Androidem we Włoszech i Kazachstanie.

Wykorzystanie oprogramowania Hermit zostało opublikowane przez Google Threat Analysis Group (TAG) 23 czerwca 2022 r., a wcześniej ujawnione przez grupę badawczą ds. bezpieczeństwa Lookout – firmę zajmującą się cyberbezpieczeństwem z siedzibą w San Francisco. Jest to więc stosunkowo nowe zagrożenie, o którego istnieniu wielu nadal nie ma pojęcia.

Grupa Google Threat Analysis Group opublikowała niedawno szczegółowy wpis na blogu, wyjaśniający, w jaki sposób ich zdaniem Hermit był wykorzystywany do atakowania urządzeń. Pokazuje on, że choć sprzęty pracujące na Androidzie i iOS są wszechobecne, ich zabezpieczenia wciąż pozostawiają wiele do życzenia. W dalszym ciągu pozostaje w tej kwestii dużo do zrobienia.

Co Hermit Spyware dokładnie robi na urządzeniu?

Program ten jest oprogramowaniem szpiegującym na linii Pegasus firmy NSO Group. Po zainstalowaniu na urządzeniu jest w stanie nagrywać na nim dźwięk, wykonywać nieautoryzowane połączenia i wiele innych nieautoryzowanych czynności.

Według Lookout, nowe oprogramowanie szpiegujące może kraść zapisane wiadomości e-mail, kontakty, zakładki/wyszukiwania przeglądarki, wydarzenia w kalendarzu itp. Może również robić zdjęcia, wykradać informacje o urządzeniu, takie jak np. szczegółowe dane na temat zainstalowanych na nim aplikacji, informacje o modelu, producencie, systemie operacyjnym, łatkach bezpieczeństwa, numerze telefonu itp. Potrafi też pobierać i instalować pakiet APK (pliki oprogramowania aplikacji na Androida) na zaatakowanym telefonie.

Hermit spyware ma również możliwość przesyłania plików z urządzenia, odczytywania powiadomień i robienia zdjęć ekranu. Badania Lookout wykazały, że jest w stanie nawet odinstalować aplikacje, takie jak np. WhatsApp, a następnie zainstalować je ponownie – najprawdopodobniej w spreparowanej przez hakerów wersji.

Okazuje się więc, że Hermit spyware to wyjątkowo groźny program o bardzo dużych możliwościach Gdy dostanie się na urządzenie, będzie kontrolować i śledzić dane ze wszystkich kluczowych aplikacji.

W jaki sposób Hermit spyware dostaje się na urządzenia z Androidem i iOS?

Wyrafinowane programy szpiegujące, takie jak Hermit i Pegasus, to nie zwykłe złośliwe oprogramowanie atakujące przypadkowych użytkowników. To programy, które potrafią wykonywać złożone operacje i kosztują miliony dolarów. Mimo to sposób, w jaki dostają się na urządzenia, nie różni się zbytnio od standardowych sposobów atakowania urządzeń.

Według zespołu Google TAG, atak za pomocą Hermit Spyware rozpoczyna się od unikalnego linku wysłanego na telefon ofiary. Po kliknięciu go przez użytkownika, strona instaluje aplikację – zarówno na urządzeniach z Androidem, jak i iOS.

Zła wiadomość jest taka, że ​​prawidłowo wykonany atak jest na tyle wyrafinowany, że może oszukać prawie każdego. Jedną z taktyk, jaką stosują atakujący, jest współpraca z dostawcą usług internetowych w celu wyłączenia mobilnego połączenia danych. Następnie dochodzi do wysłania ofierze złośliwego SMS-a – rzekomo w celu odzyskania łączności – i zainstalowania złośliwego oprogramowania.

Nie jest jasne, czy atakujący rzeczywiście zmusili dostawców usług internetowych do udziału w ataku, czy też mieli osobę z wewnątrz, która mogłaby wykonać te czynności za nich, ale rezultat jest przerażający. Wyobraź sobie, że Twój telefon traci łączność z komórkową transmisją danych, a następnie natychmiast otrzymujesz wiadomość od dostawcy o treści: „Przepraszamy, łączność danych Twojego telefonu nie działa. Kliknij link, aby naprawić problem”. Jeśli nie jesteś świadomy istnienia tego konkretnego ataku, prawdopodobnie klikniesz go bez większego wahania.

Inną taktyką było wysyłanie ofiarom linków do przekonująco wyglądających, fałszywych wersji popularnych aplikacji, takich jak Facebook i Instagram, co podobnie jak w poprzednim wypadku powodowało zainfekowanie telefonu.

Na urządzeniach Apple osoby atakujące wykorzystywały luki w protokołach firmy do rozpowszechniania aplikacji, które są w stanie ominąć App Store, ale podlegają tym samym mechanizmom egzekwowania bezpieczeństwa. Innymi słowy, te nieuczciwe aplikacje mogą działać na urządzeniach z systemem iOS, a system nie widzi w nich niczego niezwykłego. Jedna z takich aplikacji, według analizy TAG, zawierała luki w zabezpieczeniach, które mogą być wykorzystywane przez sześć różnych exploitów. Są one w stanie wysyłać interesujące przestępców pliki z urządzenia, takie jak np. baza danych WhatsApp, do osób trzecich.

Dobrą wiadomością, jeśli można to tak nazwać, jest to, że tego typu ataki prawdopodobnie nie rozprzestrzenią się masowo na urządzenia setek milionów użytkowników. Osoby korzystające z tych narzędzi nie budują sieci spambotów, ale celują w określone osoby. Jednak nadal ważne jest, aby wszyscy wiedzieli, jak chronić się przed wyrafinowanymi atakami, takimi jak ten, ponieważ nigdy nie wiadomo, kiedy możesz stać się „konkretną osobą” na liście „organów ścigania”.

Jak chronić się przed takimi atakami złośliwego oprogramowania?

Typowa rada, jaką otrzymasz od ekspertów ds. bezpieczeństwa, to: “Nigdy, przenigdy, nie instaluj niczego ze strony, której nie ufasz, a także nie klikaj linków pochodzących od kogoś, kogo nie znasz.” Jest to nieco trudniejsze do zrealizowania, gdy Twój dostawca usług internetowych bierze udział w oszustwie i wysyła Ci linki służące rzekomo do „naprawienia” połączenia danych.

Mimo to ogólna zasada obowiązuje nadal: jeśli coś jest nie tak i wzbudza Twoje podejrzenia, sprawdź to dwukrotnie. Gdy nie masz pewności, czy link lub aplikacja jest legalna, nie klikaj jej, nawet jeśli pochodzi od Google, Facebooka, Apple, Twojego dostawcy usług internetowych, a nawet krewnego. I zawsze aktualizuj oprogramowanie urządzenia.

TAG zwraca również uwagę na ważny fakt: żadna ze złośliwych aplikacji, które zostały użyte do wdrożenia Hermit spyware, nie była dostępna w Apple App Store ani Google Play Store. Hakerzy stosowali różne taktyki, aby ominąć oficjalne sklepy. Chociaż instalowanie aplikacji tylko z oficjalnych sklepów z aplikacjami nie zapewnia 100-procentowej ochrony przed złośliwym oprogramowaniem, jest to zdecydowanie dobra praktyka bezpieczeństwa.

Aby zwiększyć swoją anonimowość, warto również korzystać z programów do ochrony prywatności w sieci. Doskonale sprawdzają się tu pakiety antywirusowe znanych i cenionych firm, takich jak Norton, Bitdefender, AVG, McAfee, Panda lub ESET, zawierające funkcje ochrony prywatności. Takie programy blokują złośliwe oprogramowanie spyware, a także dbają o Twoją prywatność podczas korzystania z sieci i przesyłania danych. Skutecznie chronią Twoje dane osobowe i najbardziej wrażliwe informacje, które mogłyby być wykorzystane przez niepowołane osoby do kradzieży lub dalszych ataków.