SPIONVARE

Utpeker italiensk selskap som leverandør av spionvare til både Android og IOS

Brukerne av teknologien antas å samarbeide med enkelte av ofrenes mobiloperatører eller internettleverandører.

Spionvaren Hermit finnes i varianter til både Android og IOS. Den skal stamme fra et italiensk selskap.
Spionvaren Hermit finnes i varianter til både Android og IOS. Den skal stamme fra et italiensk selskap. Illustrasjon: Colourbox/Jürgen Fälchle
Harald BrombachHarald BrombachNyhetsleder
25. juni 2022 - 05:00

Google kom denne uken med en rapport om en til nå lite kjent spionvare som i alle fall skal ha blitt brukt mot brukere av både Android- og IOS-enheter i Italia og Kasakhstan. Selskapet mener funksjonaliteten i spionvaren kan knyttes til det italienske selskapet RCS Lab. Dette inkluderer blant annet at det benyttes «drive-by»-nedlasting som innledende infeksjonsvektor. 

Google ved avdelingen Project Zero fokuserer på IOS-varianten av spionvaren i et blogginnlegg – kanskje fordi IT-sikkerhetsselskapet Lookout kom med en gjennomgang av en Android-variant for en drøy uke siden. Lookout har kalt spionvaren for Hermit og skriver at den også har blitt funnet i Syria.

Ifølge Google er det klare fellestrekk ved de to variantene og kampanjene som benytter den. 

 Apple la inn sin app-sporing i iOS versjon 14.5 der brukerne kan velge om de skal spores eller ikke.
Les også

Apple og Googles tjenester brukes til uønsket sporing – nå tar de grep

Mobiloperatører er med på notene

Alle kampanjer som har blitt observert til nå, innleder angrepene med å sende en unik lenke til målet. Denne lenken peker til en spesielt utformet webside hvor offeret lokkes til å installere en ondsinnet applikasjon til enten Android eller IOS.

– I noen tilfeller tror vi aktøren har samarbeidet med målets internettleverandør for å deaktivere mobildataforbindelsen til målet. Straks den er deaktivert, kunne angriperen sende en ondsinnet lenke via SMS, hvor målet bes om å installere en applikasjon for å gjenopprette dataforbindelsen. Vi mener dette er årsaken til at de fleste av applikasjonene er maskert som mobiloperatørapper. Dersom ISP-involvering ikke er mulig, er appene maskert som meldingsapplikasjoner, skriver Google Threat Analysis Group. 

Veien inn i IOS

I IOS er det mulig å installere virksomhetsinterne apper dersom de er signert med et gyldig sertifikat og distribuert på riktig måte. Det gjelder også Hermit-appene, som har blitt signert med et sertifikat fra et selskap som er innrullert i Apple Developer Enterprise Program.

Appene har blitt kjørt i de samme sikkerhetsomgivelsene som apper fra App Store. Men de ondsinnede appene har utnyttet sårbarheter i IOS til å oppnå utvidede privilegier, noe som blant annet har åpnet for blant annet eksfiltrering av filer. Databasen til Whatsapp nevnes som eksempel på dette. 

Alle sårbarhetene som er oppgitt av Google, ble senest i 2021 fjernet i IOS. Det er derfor uklart om Hermit-appene fortsatt er virksomme.

Forkledd som Samsung-app til Android

For å installere den tilsvarende appen i Android, er det ikke nødvendig at den er signert på noen spesifikk måte. Men brukeren må lokkes til å aktivere installasjon fra ukjente kilder. 

Android-appen har vært forkledd som en legitim Samsung-app, men har brukt webview-komponenten i Android til å vise en tilsynelatende legitim webside. Appen har ikke i seg selv utnyttet sårbarheter, men har kommunisert med et par kontroll- og kommandoservere (C&C) for blant annet opplasting av data og nedlasting av moduler som kan ha mer ondsinnet funksjonalitet.

Den ene av C&C-serverne skal dessuten ha kommunisert via Firebase Cloud Messaging. Google har stengt disse tilfellene, i tillegg til å varsle alle Android-brukere som har vært ofre for denne kampanjen. 

Domeneshop har hovedkontor i DN-bygget, som ligger på Grønland, langs Akerselva i Oslo.
Les også

Domeneshop er solgt: – Vil kjempe for å bevare det sterke varemerket

Konkurrent av NSO Group

Om italienske RCS Lab skriver Lookout at dette er et selskap som har vært aktivt i tre tiår. Det opererer i det samme markedet som mer kjente NSO Group og Gamma Group. Slike aktører hevder ofte at det kun selger sine løsninger til legitime kunder, som ulike lands etterretningstjenester og politimyndigheter. Men i mange tilfeller blir de brukt mot blant annet journalister, menneskerettsaktivister og regimekritikere. 

Ifølge Lookout har RCS Lab trolig kunder i land som Bangladesh, Kina, Mongolia, Myanmar, Pakistan, Syria, Turkmenistan og Vietnam.

Mulig partner

Lookout nevner også et selskap kalt Tykelab s.r.l. Dette er et italiensk selskap som i utgangspunktet selger harmløse telekomløsninger. Lookout mistenker at dette er et skalkeskjul for annen virksomhet og at det relasjoner mellom Tykelab og RCS Lab. 

Disse mistankene er basert på blant annet felles bruk av IP-adresser, samt informasjon i et dokument utgitt av det italienske underhuset. Dokumentet tar opp mulig misbruk av spionvare i Italia i forbindelse med en antikorrupsjonsoperasjon. 

Sikkerhetsselskapet Zscaler har satt sammen en ny rapport som gir et oppdatert bilde av trussellandskapet på mobil.
Les også

Sikkerhetsselskap: Kraftig økning i skadevare som kan stjele bankdata og omgå totrinnsverifisering

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.