Utpeker italiensk selskap som leverandør av spionvare til både Android og IOS

Brukerne av teknologien antas å samarbeide med enkelte av ofrenes mobiloperatører eller internettleverandører.

Utpeker italiensk selskap som leverandør av spionvare til både Android og IOS
Spionvaren Hermit finnes i varianter til både Android og IOS. Den skal stamme fra et italiensk selskap. Illustrasjon: Colourbox/Jürgen Fälchle

Google kom denne uken med en rapport om en til nå lite kjent spionvare som i alle fall skal ha blitt brukt mot brukere av både Android- og IOS-enheter i Italia og Kasakhstan. Selskapet mener funksjonaliteten i spionvaren kan knyttes til det italienske selskapet RCS Lab. Dette inkluderer blant annet at det benyttes «drive-by»-nedlasting som innledende infeksjonsvektor. 

Google ved avdelingen Project Zero fokuserer på IOS-varianten av spionvaren i et blogginnlegg – kanskje fordi IT-sikkerhetsselskapet Lookout kom med en gjennomgang av en Android-variant for en drøy uke siden. Lookout har kalt spionvaren for Hermit og skriver at den også har blitt funnet i Syria.

Ifølge Google er det klare fellestrekk ved de to variantene og kampanjene som benytter den. 

Les også

Mobiloperatører er med på notene

Alle kampanjer som har blitt observert til nå, innleder angrepene med å sende en unik lenke til målet. Denne lenken peker til en spesielt utformet webside hvor offeret lokkes til å installere en ondsinnet applikasjon til enten Android eller IOS.

– I noen tilfeller tror vi aktøren har samarbeidet med målets internettleverandør for å deaktivere mobildataforbindelsen til målet. Straks den er deaktivert, kunne angriperen sende en ondsinnet lenke via SMS, hvor målet bes om å installere en applikasjon for å gjenopprette dataforbindelsen. Vi mener dette er årsaken til at de fleste av applikasjonene er maskert som mobiloperatørapper. Dersom ISP-involvering ikke er mulig, er appene maskert som meldingsapplikasjoner, skriver Google Threat Analysis Group. 

Veien inn i IOS

I IOS er det mulig å installere virksomhetsinterne apper dersom de er signert med et gyldig sertifikat og distribuert på riktig måte. Det gjelder også Hermit-appene, som har blitt signert med et sertifikat fra et selskap som er innrullert i Apple Developer Enterprise Program.

Appene har blitt kjørt i de samme sikkerhetsomgivelsene som apper fra App Store. Men de ondsinnede appene har utnyttet sårbarheter i IOS til å oppnå utvidede privilegier, noe som blant annet har åpnet for blant annet eksfiltrering av filer. Databasen til Whatsapp nevnes som eksempel på dette. 

Alle sårbarhetene som er oppgitt av Google, ble senest i 2021 fjernet i IOS. Det er derfor uklart om Hermit-appene fortsatt er virksomme.

Forkledd som Samsung-app til Android

For å installere den tilsvarende appen i Android, er det ikke nødvendig at den er signert på noen spesifikk måte. Men brukeren må lokkes til å aktivere installasjon fra ukjente kilder. 

Android-appen har vært forkledd som en legitim Samsung-app, men har brukt webview-komponenten i Android til å vise en tilsynelatende legitim webside. Appen har ikke i seg selv utnyttet sårbarheter, men har kommunisert med et par kontroll- og kommandoservere (C&C) for blant annet opplasting av data og nedlasting av moduler som kan ha mer ondsinnet funksjonalitet.

Den ene av C&C-serverne skal dessuten ha kommunisert via Firebase Cloud Messaging. Google har stengt disse tilfellene, i tillegg til å varsle alle Android-brukere som har vært ofre for denne kampanjen. 

Les også

Konkurrent av NSO Group

Om italienske RCS Lab skriver Lookout at dette er et selskap som har vært aktivt i tre tiår. Det opererer i det samme markedet som mer kjente NSO Group og Gamma Group. Slike aktører hevder ofte at det kun selger sine løsninger til legitime kunder, som ulike lands etterretningstjenester og politimyndigheter. Men i mange tilfeller blir de brukt mot blant annet journalister, menneskerettsaktivister og regimekritikere. 

Ifølge Lookout har RCS Lab trolig kunder i land som Bangladesh, Kina, Mongolia, Myanmar, Pakistan, Syria, Turkmenistan og Vietnam.

Mulig partner

Lookout nevner også et selskap kalt Tykelab s.r.l. Dette er et italiensk selskap som i utgangspunktet selger harmløse telekomløsninger. Lookout mistenker at dette er et skalkeskjul for annen virksomhet og at det relasjoner mellom Tykelab og RCS Lab. 

Disse mistankene er basert på blant annet felles bruk av IP-adresser, samt informasjon i et dokument utgitt av det italienske underhuset. Dokumentet tar opp mulig misbruk av spionvare i Italia i forbindelse med en antikorrupsjonsoperasjon. 

Les også