Групата за анализ на заплахите на Google (GTAG) проведе проучване, което разкри сложна хакерска кампания, в която доставчици на интернет услуги са помогнали на хакерите да разпространят шпионския софтуер Hermit. Работата на Google потвърждава резултатите от по-ранно разследване на специалистите по киберсигурност от Lookout, които свързаха шпионския софтуер Hermit с италианския разработчик RCS Labs.

Според специалистите, RCS Labs разработва шпионски софтуер, който продава на правителствени агенции в различни държави. Експертите са установили признаци, че инструментът Hermit вече е бил използван от казахстанското правителство, както и от италианските власти. Това беше потвърдено от експерти на Google, които успяха да идентифицират и уведомят жертвите на наблюдение и в двете гореспоменати държави.

В доклада на специалистите се посочва, че Hermit е опасен инструмент, който може да изтегля допълнителни модули, за да разшири възможностите си при необходимост. Софтуерът може да се използва за достъп до записи на разговори, местоположение на устройството, снимки и видеоклипове, текстови съобщения и друга информация, съхранявана в устройството на жертвата. Програмата може също така да записва и прихваща разговори и да получи root достъп до устройството, като предостави пълен контрол върху операционната система.

Беше отбелязано, че Hermit може да се използва за атаки срещу потребители на устройства с Android и iOS. Обикновено е маскиран като легитимно приложение на мобилен оператор или месинджър. Експертите на Google са установили, че в някои случаи нападателите са работили с местни доставчици на интернет, които са блокирали интернет връзките на жертвите, което е било необходимо, за да може зловредният софтуер да проникне в устройствата. След като интернет връзката е прекъсната, нападателите се свързват с жертвите под прикритието на доставчик на интернет услуги и ги убеждават да инсталират предполагаемо легитимно приложение, което според тях ще им помогне да възстановят интернет връзката си.

Според GTAG, софтуерът Hermit никога не е бил разпространяван чрез официални източници, като Google Play Market и Apple App Store. Нападателите обаче са успели да разпространят зловредния софтуер за iOS, като са участвали в програмата на Apple за разработчици Enterprise Program. С участието си в програмата те са успели да заобиколят стандартния процес на проверка на приложенията в App Store и да получат сертификат за съответствие от сайта. Към момента Apple вече е оттеглила издадените сертификати и е блокирала свързаните с Hermit акаунти.