Theo nghiên cứu được công bố bởi Nhóm Phân tích Mối đe dọa của Google (TAG: Threat Analysis Group), một chiến dịch phần mềm gián điệp tinh vi đang nhận được sự trợ giúp của các nhà cung cấp dịch vụ internet (ISP) nhằm lừa người dùng tải vè các ứng dụng độc hại. Thông tin này chứng thực những phát hiện trước đó từ nhóm nghiên cứu bảo mật Lookout. Theo đó, họ đã nhận thấy rằng spyware Hermit này có nguồn gốc từ nhà cung cấp spyware Ý RCS Labs.
Lookout cho biết, RCS Labs có cùng công việc với NSO Group – công ty giám sát thuê khét tiếng đứng sau spyware Pegasus – và bán spyware (phần mềm gián điệp) thương mại cho các cơ quan chính phủ khác nhau. Các nhà nghiên cứu tại Lookout tin rằng, Hermit đã được chính phủ Kazakhstan và chính quyền Ý triển khai. Cùng với những phát hiện này, Google đã xác định được nạn nhân ở cả hai quốc gia và cho biết họ sẽ thông báo cho những người dùng bị ảnh hưởng. Như được mô tả trong báo cáo của Lookout, Hermit là một mối đe dọa dạng mô-đun, với khả năng thâm nhập và tải về các tệp đính kèm từ máy chủ và điều khiển thiết bị. Điều này cho phép spyware truy cập vào hồ sơ cuộc gọi, vị trí, ảnh và tin nhắn văn bản trên thiết bị của nạn nhân. Hermit cũng có khả năng ghi lại âm thanh, thực hiện và chặn cuộc gọi điện thoại, cũng như phá khoá thiết bị Android. Với những tác hại hiện có, sẽ giúp nó có toàn quyền kiểm soát hệ điều hành cốt lõi của máy. Spyware này có thể lây nhiễm trên cả hai nền tảng hệ điều hành là Android và iOS. Hermit sẽ ngụy trang thành một nguồn hợp pháp, thường ở dạng cung cấp dịch vụ di động hoặc ứng dụng nhắn tin. Các nhà nghiên cứu an ninh mạng của Google phát hiện ra rằng, một số kẻ tấn công đã hợp tác với ISP để tắt dữ liệu di động của nạn nhân và thực hiện kế hoạch. Sau đó, những kẻ xấu sẽ đóng giả là nhà cung cấp dịch vụ di động của nạn nhân qua SMS và lừa người dùng tin rằng việc tải về ứng dụng độc hại sẽ khôi phục dịch vụ internet của họ. Ngoài ra, người dùng sẽ gặp phải trường hợp giả mạo các ứng dụng nhắn tin, sau đó lừa người dùng tải về. Những nhà nghiên cứu từ Lookout và TAG cho biết, các ứng dụng chứa Hermit chưa bao giờ được cung cấp thông qua Google Play Store hoặc App Store. Tuy nhiên, những kẻ tấn công lại phân phối các ứng dụng bị nhiễm spyware này trên hệ điều hành iOS bằng cách đăng ký vào Chương trình Doanh nghiệp Nhà phát triển (Developer Enterprise Program) của Apple. Điều này cho phép những kẻ xấu vượt qua quy trình kiểm duyệt tiêu chuẩn của App Store và nhận được chứng chỉ “đáp ứng tất cả các mã iOS trên mọi thiết bị iOS.” Trao đổi với The Verge, Apple cho biết, họ đã thu hồi bất kỳ tài khoản hoặc chứng chỉ nào liên quan đến mối đe dọa này. Ngoài việc thông báo cho những người dùng bị ảnh hưởng, Google cũng đã đưa ra bản cập nhật Google Play Protect cho tất cả người dùng. Nguồn: The Verge
