Włoska firma opracowała własną wersję Pegasusa

Google (a konkretnie zespół analizujący zagrożenia; Threat Analysis Group) informuje, że jedna z włoskich firm stworzyła oprogramowanie szpiegujące, które używane jest do przeprowadzania ataków na mobilne urządzenia iOS i Android i wykradanie z nich danych, wykorzystując do tego celu znajdujące się w nich luki zero-day.

Grafika: Jack-Moreh/freerangestock

Chodzi o spyware, któremu nadano nazwę Hermit (Pustelnik). Jego twórcą jest firma RCS Lab, która ma swoją centralę w Mediolanie oraz kilka filii we Francji i w Hiszpanii. Na internetowej stronie firmy znajduje się informacja, że jej klientami są europejskie agencje rządowe, a oferowane przez nią produkty należą do najnowocześniejszych rozwiązań, które spełniają wszystkie wymogi stawiane przez prawo tego rodzaju produktom. Przeprowadzone przez Google badanie wykazało, że opracowane przez RCS Lab narzędzie zostało już wykorzystane do szpiegowania smartfonów użytkowników we Włoszech oraz w Kazachstanie.

W oświadczeniu komentującym to doniesienie, przekazanym agencji prasowej Reuters, RCS Lab pisze, że firma nie uczestniczy w żadnych działaniach prowadzonych przez jej klientów. Google podaje jednak, że zaobserwował w ostatnim czasie szereg kampanii szpiegowskich wykorzystujących oprogramowanie znajdujące się w ofercie firmy RCS Lab. Kampanie te rozpoczynają się od unikalnego linku wysyłanego do ofiary, po kliknięciu którego malware próbuje skłonić użytkownika do pobrania i zainstalowania złośliwej aplikacji.

Zobacz również:

  • IDC CIO Summit – potencjał drzemiący w algorytmach

Wydaje się, że w niektórych przypadkach odbywa się to poprzez współpracę z dostawcą usług internetowych świadczonych użytkownikowi, który w tym momencie zrywa połączenie. To celowe działanie, gdyż w kolejnym kroku użytkownik otrzymuje wiadomość SMS z łączem do pobrania aplikacji, rzekomo w celu odzyskania łączności danych. W innym scenariuszu malware podszywa się pod aplikację do przesyłania wiadomości. Niezależnie od scenariusza, malware inicjuje następnie operację drive-by-download, zagnieżdżając w kolejnych krokach w pamięci atakowanego urządzenia szkodliwy kod.

W przypadku systemu Android atak drive-by-download polega na tym, że użytkownicy instalują oprogramowanie, która udaje legalną aplikację Samsunga, wyświetlając nawet reprezentującą ją ikonę.

Firma Google poinformowała, że podjęła już kroki w celu ochrony użytkowników systemu operacyjnego Android i ostrzegła ich o istnieniu takiego oprogramowania szpiegującego, wprowadzając jednocześnie stosowne zmiany do swojej platformy bezpieczeństwa Google Play Protect.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200