¿Qué es el software espía ermitaño?

¿Qué es Hermit y qué hace exactamente en un dispositivo?

Hermit es un spyware inspirado en Pegaso por el grupo NSO. Una vez instalado en un dispositivo, puede grabar audio en el dispositivo, realizar llamadas no autorizadas y realizar muchas actividades no autorizadas. Según Lookout, el software espía puede robar correos electrónicos de cuentas almacenados, contactos, marcadores/búsquedas del navegador, eventos de calendario y más. También puede tomar fotos del dispositivo, robar información del dispositivo, como detalles de la aplicación, información del kernel, modelo, fabricante, sistema operativo, parche de seguridad, número de teléfono, etc. También puede descargar e instalar APK (los archivos de software de la aplicación en Android) en un teléfono comprometido.

El software espía también puede descargar archivos del dispositivo, leer notificaciones y tomar capturas de pantalla. Debido a que puede acceder a la raíz o al acceso «privilegiado» de un sistema Android, la investigación de Lookout ha demostrado que puede desinstalar aplicaciones como Telegram y WhatsApp. Según los investigadores, el software espía puede desinstalar/reinstalar Telegram de forma silenciosa. Excepto que la versión reinstalada probablemente esté comprometida. También puede robar datos de la aplicación anterior. Para WhatsApp, puede solicitar al usuario que reinstale WhatsApp a través de Play Store.

Entonces, una vez que Hermit se implementa en un teléfono, puede controlar y rastrear datos de todas las aplicaciones clave.

¿Cómo se ha implementado Hermit en dispositivos Android e iOS?

El spyware sofisticado como Hermit y Pegasus cuestan millones de dólares en derechos de licencia y no son operaciones sencillas. No es como el malware común dirigido a usuarios regulares. Y en el caso de Ermitaño, parece que las operaciones utilizadas fueron complejas. Según el equipo TAG de Google, todas las campañas comenzaron con un solo enlace enviado al teléfono de la víctima. Cuando el usuario hizo clic, la página instaló la aplicación en Android e iOS.

Pero, ¿cómo lograron eludir las medidas de seguridad de Apple y Google?

Según Google, creían que los actores que se dirigían a las víctimas tenían que trabajar con el «proveedor de servicios de Internet» o ISP del objetivo. Google señala: “Creemos que los actores trabajaron con el ISP del objetivo para deshabilitar la conectividad de datos móviles del objetivo. Una vez deshabilitado, el atacante enviaría un enlace malicioso a través de SMS pidiéndole al objetivo que instale una aplicación para recuperar su conectividad de datos. Creemos que esta es la razón por la que la mayoría de las aplicaciones se hacen pasar por aplicaciones de operadores móviles. »

Cuando la participación del ISP no era posible, el software espía pretendía ser una aplicación de mensajería. De acuerdo con el ejemplo de captura de pantalla de Google, el enlace pretendería ser una página de recuperación para un Facebook cuenta y pedir a los usuarios que descarguen una versión de WhatsApp, Instagram o Facebook. Esto es cuando el dispositivo era un Android. Obviamente, estas eran versiones comprometidas de estas aplicaciones de mensajería.

Según Lookout, algunos ataques en Kazajstán se hicieron pasar por páginas de Opo, Samsung y Vivo, todas marcas de teléfonos conocidas. Además, su investigación muestra que RCS Lab también trabajó con Tykelab Srl, una empresa de soluciones de telecomunicaciones. Lookout cree que es probablemente una «empresa fachada» para RCS Lab, y su publicación de blog afirma mostrar varias conexiones entre estos dos.

Dentro ManzanaEn el caso de Google, la investigación de Google mostró que el software espía explotaba el Certificado de empresa de Apple, que algunas empresas asignan a las aplicaciones. Esta certificación permite a las empresas distribuir sus propias aplicaciones internas para descargas directas a dispositivos iOS, sin pasar por la App Store. Las aplicaciones «Hermit spyware» habían obtenido con éxito estas certificaciones, que desde entonces han sido revocadas por Apple.

Google dijo que una empresa llamada 3-1 Mobile SRL tiene el certificado necesario porque está inscrita en el programa Apple Developer Enterprise. Google también señaló que «no creen que las aplicaciones hayan estado disponibles en la App Store». Una vez instaladas, estas aplicaciones explotaron varias fallas conocidas y otras vulnerabilidades de día cero para obtener más acceso y realizar vigilancia. De acuerdo a un nuevo informe de 9to5MacApple ahora ha revocado los certificados de estas aplicaciones comprometidas.

Y luego ? ¿Cómo pueden protegerse los usuarios?

Como se dijo, Hermit no es un spyware común. El análisis de Lookout muestra que en Kazajstán, «es probable que una entidad del gobierno nacional esté detrás de la campaña». Google también señaló que había identificado y alertado a todas las víctimas de Android en Italia y Kazajstán. También dijo que implementó cambios en Google Play Protect y deshabilitó todos los proyectos de Firebase utilizados para comandar y controlar la campaña.

Lookout también afirma haberlo visto desplegado en Siria. En Italia, los documentos mostraron que había sido maltratado en una operación anticorrupción. “El documento mencionaba una versión iOS de Hermit y vinculaba RCS Lab y Tykelab al malware, lo que respalda nuestro análisis”, señala el blog.

Según ellos, “los dispositivos móviles son el objetivo ideal para la vigilancia”. Aunque no todos somos objetivos, los usuarios deben seguir los consejos básicos. Esto incluye actualizar sus teléfonos regularmente, ya que cada actualización incluye un parche para vulnerabilidades conocidas o desconocidas. Nuevamente, los usuarios deben evitar hacer clic en enlaces desconocidos, incluso por curiosidad. También se recomienda a los usuarios que revisen periódicamente las aplicaciones en su dispositivo para ver si se ha agregado algo desconocido.

Boletin informativo | Haga clic para recibir los mejores explicadores del día en su bandeja de entrada

El blog de Google también condena enérgicamente las herramientas de vigilancia utilizadas por el Estado y señala que en muchos casos son «utilizadas por gobiernos con fines contrarios a los valores democráticos: atacar a disidentes, periodistas, defensores de derechos humanos y políticos de partidos de oposición». .

Mientras tanto, RCS Labs ha negado haber actuado mal, diciendo que sus productos y servicios cumplen con las normas de la UE y ayudan a las fuerzas del orden público a investigar delitos, según un informe de Reuters.