App spia Iphone, bloccato spyware Hermit
Il Threat Analysis Group (TAG) di Google, un gruppo specializzato nel monitoraggio e nell’analisi di hacking e attacchi sponsorizzati dal governo, ha recentemente pubblicato uno studio su “Hermit”, uno spyware creato dagli RCS Labs italiani che può compromettere i dispositivi Android e iOS. Fortunatamente, Apple ha già trovato un modo per impedire che questo spyware si diffonda sui suoi dispositivi.
Come riportato da TechCrunch, TAG ha confermato l’esistenza della spia Hermit, creata dalla software house italiana RCS Lab per attaccare gli utenti iOS e Android. Su entrambe le piattaforme, lo spyware è stato distribuito attraverso un processo di sideload ( Detta semplicemente, è l’atto di trasferire file tra due dispositivi invece che caricarli o scaricarli da Internet) al di fuori dell’App Store e di Google Play.
Dopo che l’attacco è stato eseguito, un utente ignaro noterà un messaggio che lo avvisa che ha perso l’accesso al proprio account o ai propri servizi e che deve utilizzare un collegamento specifico per ripristinarli.
Il link di installazione è camuffato da ISP o notifiche da app di messaggistica popolari.
Quando la vittima apre il sito Web collegato, vengono mostrati i loghi ufficiali di aziende note e richieste di recupero dell’account molto realistiche, nonché un collegamento per scaricare un’applicazione dannosa nascosta dietro pulsanti e icone dall’aspetto innocuo.
Ad esempio, una delle tante versioni dell’applicazione utilizzata in questo attacco aveva un logo Samsung come icona e puntava a un falso sito web dell’azienda sudcoreana.
La versione Android dell’attacco utilizza un file .apk. Poiché le app Android possono essere installate liberamente al di fuori del Google Play Store, gli hacker non hanno dovuto convincere le vittime a installare un certificato speciale.
Per quanto riguarda le vittime di iOS, è stato necessario convincerle a installare invece il certificato dell’azienda. Se l’utente ha accettato e ha seguito l’intero processo, il certificato ha consentito al programma dannoso di aggirare le protezioni dell’App Store.
La versione iOS dello spyware utilizzava sei diversi exploit di sistema per ottenere informazioni dal dispositivo e il programma era suddiviso in più parti, ognuna con un’azione specifica. Quattro di questi attacchi sono stati scoperti dalla comunità di jailbreak per aggirare il livello di autenticazione e ottenere l’accesso root completo al sistema.
In particolare, RCS ha distribuito la app spia agli utenti iOS come app commerciale. Lo spyware è mascherato da un’applicazione di comunicazione o di messaggistica legittima.
Queste app aziendali operano secondo le stesse regole sandbox delle app dell’App Store, quindi non possono accedere ai file di sistema interni o ai dati degli utenti senza autorizzazione.
Ma poiché Apple non esamina le app aziendali, è più facile per loro sfruttare le funzionalità di iOS.
Una volta installato sul dispositivo di una vittima, lo spyware può intercettare l’audio del microfono, instradare le chiamate, raccogliere foto, messaggi, e-mail e persino la posizione corrente del dispositivo.
Al momento non è chiaro chi fosse l’obiettivo dell’app spia Hermit, ma sappiamo che è stata acquistata da diversi governi in tutto il mondo.
Fortunatamente, Apple ha già bloccato tutte le certificazioni relative allo spyware e non può più essere installato su iOS. Anche tutti gli account associati allo spyware sono stati revocati, quindi il malware non può più essere distribuito al di fuori dell’App Store.