Bron

Leestijd 4 min

Google waarschuwt slachtoffers in Kazachstan en Italië dat zij het doelwit zijn van Hermit, een gesofisticeerde en modulaire spyware van de Italiaanse leverancier RCS Labs die niet alleen gegevens kan stelen maar ook gesprekken kan opnemen en voeren. Onderzoekers van Google Threat Analysis Group (TAG) hebben donderdag in een blogpost van TAG-onderzoekers Benoit Sevens en Clement Lecigne details onthuld over campagnes die doelwitten een unieke link sturen naar nep-apps die zich voordoen als legitieme apps om te proberen hen zover te krijgen dat ze de spyware downloaden en installeren. Geen van de nep-apps werd echter aangetroffen in de respectieve mobiele app stores van Apple of Google, zeiden zij. TAG schrijft de mogelijkheden toe aan de beruchte leverancier van surveillancesoftware RCS Labs, die eerder in verband werd gebracht met spywareactiviteiten van een agent van de regering van Kazachstan tegen binnenlandse doelwitten, en die door Lookout zijn geïdentificeerd. "We detailleren mogelijkheden die we toeschrijven aan RCS Labs, een Italiaanse verkoper die een combinatie van tactieken gebruikt, waaronder atypische drive-by downloads als initiële infectievectoren, om mobiele gebruikers op zowel iOS als Android te targeten," schreef een woordvoerder van Google TAG in een e-mail aan Threatpost die donderdagmiddag werd verstuurd. Alle campagnes die TAG heeft waargenomen, zijn begonnen met een unieke link die naar het doelwit wordt gestuurd en gebruikers vervolgens probeert te verleiden tot het downloaden van Hermit spyware op een van de twee manieren, schreven onderzoekers in de post. Eenmaal geklikt, worden slachtoffers omgeleid naar een webpagina voor het downloaden en installeren van een surveillance-app op Android of iOS. "De pagina, in het Italiaans, vraagt de gebruiker om een van deze applicaties te installeren om zijn account te herstellen," met downloadlinks van WhatsApp die specifiek verwijzen naar door aanvallers gecontroleerde inhoud voor Android- of iOS-gebruikers, schreven de onderzoekers. Een van de lokmiddelen die dreigingsactoren gebruiken, is samenwerking met de internetprovider van het doelwit om zijn of haar mobiele gegevensverbinding uit te schakelen en zich vervolgens voor te doen als een applicatie van een provider die via een link wordt doorgestuurd om te proberen het doelwit een schadelijke app te laten installeren om de verbinding te herstellen, aldus het rapport. Onderzoekers schetsten in een aparte blogpost van Ian Beer van Google Project Zero een geval waarin zij een iOS-app van Vodafone ontdekten die in feite een nep-app is.

2 maanden geleden - threatpost.com

Korte versie

Google heeft details bekendgemaakt over hoe een geraffineerde spyware wordt gebruikt om doelwitten te verleiden tot het downloaden van hun mobiele telefoons.

Uitgebreide versie

Google waarschuwt slachtoffers in Kazachstan en Italië dat zij het doelwit zijn van Hermit, een gesofisticeerde en modulaire spyware van de Italiaanse leverancier RCS Labs die niet alleen gegevens kan stelen maar ook gesprekken kan opnemen en voeren. Onderzoekers van Google Threat Analysis Group (TAG) hebben donderdag in een blogpost van TAG-onderzoekers Benoit Sevens en Clement Lecigne details onthuld over campagnes die doelwitten een unieke link sturen naar nep-apps die zich voordoen als legitieme apps om te proberen hen zover te krijgen dat ze de spyware downloaden en installeren. Alle campagnes die TAG heeft waargenomen, zijn begonnen met een unieke link die naar het doelwit wordt gestuurd en gebruikers vervolgens probeert te verleiden tot het downloaden van Hermit spyware op een van de twee manieren, schreven onderzoekers in de post.

Vergelijkbare publicaties