Recientemente el gigante de la tecnología, Google, ha decidido implementar cambios en Google Play Protect el servicio de defensa contra el malware integrado en Android, esta decisión se lleva a cabo como consecuencia de un ataque del software espía apodado Hermit, el cual fue utilizado por el gobierno de Kazajistán dentro de sus fronteras. Debido a ello, Google ha alertado a los usuarios de Android con dispositivos infectados.
Hermit fue creado por la firma italiana RCS Lab y la semana pasada fue descubierto por la empresa de seguridad móvil Lookout.
Aunque normalmente este “spyware” se vende a clientes con uso legítimo de software de vigilancia como a agencias de inteligencia y de aplicación de la ley, informes revelaron que algunas herramientas se utilizan para espiar a varios funcionarios del gobierno.
En un comunicado Lookout indicó lo siguiente: “Se ha abusado de tales herramientas bajo el pretexto de la seguridad nacional para espiar a ejecutivos de empresas, activistas de derechos humanos, periodistas, académicos y funcionarios gubernamentales”.
Del mismo modo, Lookout reveló que en abril el software también fue utilizado por el gobierno de Kazajstán. Regularmente el Hermit es usado para obtener información sensible como:
Ubicación de dispositivo
Fotos
Correos electrónicos
Mensajes
Redirige llamadas telefónicas.
Registros de llamadas
Graba audio ambiental
El equipo de análisis de amenazas de Google, determinó que el software espía hackea teléfonos usando una combinación de tácticas que incluyen “descargas ocultas”. Su modularidad también le permite ser totalmente personalizable, lo que puede ampliar o alterar la funcionalidad del software espía a voluntad.
Todavía no está claro quiénes eran los objetivos de la campaña, ni cuáles eran los clientes de RCS Lab. Sin embargo, una de las cosas que sí tiene fuertes sospechas es que, los actores trabajaron en colaboración con los proveedores de servicios de Internet (ISP) de los objetivos para desactivar su conectividad de datos móviles, seguido del envío de un SMS que instaba a los destinatarios a instalar una aplicación para restaurar el acceso a los datos móviles.
"Creemos que esta es la razón por la que la mayoría de las aplicaciones se hacían pasar por aplicaciones de operadores de telefonía móvil", dijeron los investigadores. "Cuando la participación del ISP no es posible, las aplicaciones se hacen pasar por aplicaciones de mensajería".
Para comprometer a los usuarios de iOS, el adversario se habría apoyado en perfiles de aprovisionamiento que permiten cargar de forma lateral aplicaciones falsas de la marca del operador en los dispositivos sin necesidad de que estén disponibles en la App Store.
En el caso de Android, los ataques drive-by requieren que las víctimas habiliten una configuración para instalar aplicaciones de terceros de fuentes desconocidas, lo que hace que la aplicación falsa, haciéndose pasar por marcas de teléfonos inteligentes como Samsung, solicite amplios permisos para lograr sus objetivos maliciosos.
La variante de Android, además de intentar enraizar el dispositivo para obtener acceso, también está conectada de forma diferente, ya que en lugar de incluir exploits en el archivo APK, contiene una funcionalidad que le permite obtener y ejecutar componentes remotos arbitrarios que pueden comunicarse con la aplicación principal.
"Esta campaña es un buen recordatorio de que los atacantes no siempre utilizan los exploits para conseguir los permisos que necesitan", señalaron los investigadores. "Los vectores de infección básicos y las descargas drive by siguen funcionando y pueden ser muy eficientes con la ayuda de los ISP locales".
Por su parte, el TAG de Google ha expresado su preocupación por el hecho de que proveedores como RCS Lab estén "almacenando vulnerabilidades de día cero en secreto" y ha advertido que esto plantea graves riesgos si se tiene en cuenta que varios proveedores de software espía se han visto comprometidos en los últimos diez años, "lo que hace temer que sus reservas puedan hacerse públicas sin previo aviso".