Google detalla el software espía comercial que se dirige a dispositivos Android e iOS



Google ha advertido sobre una cepa de spyware de nivel empresarial dirigida a los usuarios de dispositivos móviles Android e iOS. Según los investigadores del Grupo de Análisis de Amenazas de Google (TAG), Benoit Sevens y Clement Lecigne, así como del Proyecto Cero, ahora se encuentra en circulación activa una variante distinta de spyware para iOS y Android de nivel empresarial y gubernamental. Las víctimas han sido localizadas en Italia y Kazajistán.
Seguridad Ciberseguridad 101: Proteja su privacidad de piratas informáticos, espías y el gobierno Unos pasos simples pueden marcar la diferencia entre perder sus cuentas en línea o mantener lo que ahora es un bien preciado: su privacidad. Leer ahora El software espía, denominado Hermit, es un software de vigilancia modular. Después de analizar 16 de los 25 módulos conocidos, los investigadores de seguridad cibernética de Lookout dijeron que el malware intentará rootear los dispositivos y tiene características que incluyen: grabar audio, redirigir o hacer llamadas telefónicas, robar grandes cantidades de información como mensajes SMS, registros de llamadas, listas de contactos, fotos. y extrayendo datos de ubicación GPS.
VER: Pandilla de phishing que robó millones atrayendo a las víctimas a sitios web de bancos falsos es disuelta por la policía El análisis de Lookout, publicado el 16 de junio, sugirió que el software espía se envía a través de mensajes SMS maliciosos. La conclusión de TAG es similar, con enlaces únicos enviados a un objetivo disfrazados de mensajes enviados por un proveedor de servicios de Internet (ISP) o una aplicación de mensajería. "En algunos casos, creemos que los actores trabajaron con el ISP del objetivo para deshabilitar la conectividad de datos móviles del objetivo", dice Google.
recuperar su conectividad de datos". El equipo de Lookout solo pudo asegurar una versión de Android de Hermit, pero ahora, la contribución de Google ha agregado una muestra de iOS a la investigación. No se encontró ninguna muestra en los repositorios oficiales de aplicaciones de Google o Apple.
En cambio, las aplicaciones cargadas de software espía se descargaron de hosts de terceros. La muestra de Android requiere que la víctima descargue un .APK después de permitir la instalación de aplicaciones móviles de fuentes desconocidas.
El malware se disfrazó como una aplicación de Samsung y usó Firebase como parte de su infraestructura de comando y control (C2). "Si bien el APK en sí no contiene ningún exploit, el código sugiere la presencia de exploits que podrían descargarse y ejecutarse", dicen los investigadores. Google ha notificado a los usuarios de Android afectados por la aplicación y ha realizado cambios en Google Play Protect para proteger a los usuarios de las actividades maliciosas de la aplicación.
Además, los proyectos de Firebase asociados con el software espía se han inhabilitado. La muestra de iOS, firmada con un certificado obtenido del Apple Developer Enterprise Program, contenía un exploit de escalada de privilegios que podía ser activado por seis vulnerabilidades. Si bien se conocían cuatro (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907), se sospechaba que otros dos, CVE-2021-30883 y CVE-2021-30983. siendo explotados en la naturaleza como días cero antes de que Apple los parcheara en diciembre de 2021.
El fabricante de iPad y iPhone también revocó los certificados asociados con la campaña Ermitaño. Google y Lookout dicen que es probable que el software espía se deba a RCS Lab, una empresa italiana en funcionamiento desde 1993. RCS Lab le dijo a TechCrunch que la empresa "exporta sus productos de conformidad con las normas y reglamentos nacionales y europeos" y "cualquier venta o implementación de productos se realiza solo después de recibir una autorización oficial de las autoridades competentes".
" VER: Ataques de ransomware: estos son los datos que los ciberdelincuentes realmente quieren robar La circulación de Hermit solo destaca un problema más amplio: la próspera industria del spyware y la vigilancia digital. La semana pasada, Google testificó en la audiencia del Comité Parlamentario de Investigación de la UE sobre el uso de Pegasus y otro software espía de grado comercial. Actualmente, TAG está rastreando a más de 30 proveedores que ofrecen exploits o software espía a entidades respaldadas por el gobierno y, según Charley Snyder, jefe de política de seguridad cibernética de Google, si bien su uso puede ser legal, "a menudo se encuentra que los gobiernos los utilizan con fines antitético a los valores democráticos: apuntando a disidentes, periodistas, trabajadores de derechos humanos y políticos.
" "Es por eso que cuando Google descubre estas actividades, no solo tomamos medidas para proteger a los usuarios, sino que divulgamos esa información públicamente para crear conciencia y ayudar al ecosistema", comentó Snyder. ¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0 Seguridad Cómo cifrar su correo electrónico (y por qué debería hacerlo) 5 cosas que probablemente esté haciendo mal para proteger su nube Cómo detener rápidamente los mensajes de spam en tu iPhone Las mejores VPN para Android: ¿cuál es la adecuada para ti? Cómo borrarse de los resultados de búsqueda y ocultar su identidad en línea.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı