Google предупреждает о новом шпионском приложении, которое угрожает Android и iOS

Google предупреждает о новом шпионском приложении, которое угрожает Android и iOS - Украина, Польша, Германия.

В мире обнаружили новый шпионский продукт для iOS, связанный с итальянским разработчиком RCS Labs. Данные о вредоносном ПО в четверг 23 июня опубликовала группа анализа угроз Google и команда Project Zero по анализу уязвимостей. 

Исследователи Google говорят, что обнаружили жертв программы-шпиона в Италии и Казахстане, на устройствах как с iOS, так и Android. На прошлой неделе компания по кибербезопасности Lookout опубликовала данные об Android-версии программы, которую назвали Hermit и которая также принадлежит RCS Labs. 

В ходе анализа iOS-версии шпиона исследователи обнаружили, что он распространялся с помощью фейкового приложения, напоминавшего My Vodafone от международного мобильного оператора. В случаях как с Android, так и с iOS злоумышленники, вероятно, обманом заставили жертвы нажать на ссылку и загрузить приложение. В некоторых случаях с iOS они могли работать с местными провайдерами, чтобы оборвать мобильную связь и убедить, что установка фейкового приложения My Vodafone может его восстановить. 

iOS стал особенно уязвимым из-за того, что RCS Labs зарегистрировались в программе Apple Enterprise Developer Program через фиктивную компанию и получили сертификат, позволяющий им загружать программы в обход типовой проверки AppStore. В Apple заявили, что уже отозвали все известные аккаунты и сертификаты, связанные со шпионским ПО. 

Google отслеживает использование коммерческих программ-шпионов годами, и за это время мы увидели, как отрасль быстро расширилась от нескольких поставщиков до целой экосистемы. Эти поставщики позволяют распространение опасных хакерских инструментов, вооружая правительства, которые не могут разработать их у себя. Однако в этой области мало прозрачности, поэтому очень важно делиться информацией о таких поставщиках и их возможностях», – говорит инженер по безопасности в интервью Wired.

Lookout отмечает, что итальянские чиновники использовали версию программы еще в 2019 году во время антикоррупционного расследования. Кроме Италии и Казахстана компания нашла следы использования программы неизвестной организацией в Сирии.