Apple ha bloccato lo spyware Hermit dell’italiana RCS Labs

Apple ha già bloccato uno spyware realizzato in Italia e scoperto da poche settimane.

Il Threat Analysis Group (TAG) di Google, un gruppo specializzato nel monitoraggio e nell’analisi di hacking e attacchi sostenuti dal governo, ha recentemente pubblicato una ricerca su “Hermit”, uno spyware creato dall’italiana RCS Labs che può compromettere i dispositivi Android e iOS. Fortunatamente, Apple ha già trovato un modo per fermare la diffusione di questo specifico spyware sui suoi dispositivi.

apple spyware.jpg

Come riporta TechCrunch, il TAG ha confermato l’esistenza dello spyware Hermit, creato dalla società di software italiana RCS Lab per attaccare gli utenti iOS e Android. Su entrambe le piattaforme, lo spyware è stato distribuito al di fuori dell’App Store e di Google Play grazie al processo di sideload.

Una volta effettuato l’attacco, l’ignaro utente si ritrova un messaggio che lo avvisa di aver perso l’accesso al proprio account o ai propri servizi e che dovrà accedere a uno specifico link per ripristinarli. Quel link di installazione è mascherato da provider di servizi internet o da notifiche di note applicazioni di messaggistica.

Una volta che la vittima apre il sito collegato, gli vengono mostrati loghi ufficiali di aziende note e richieste molto realistiche per il ripristino dell’account, con il link per scaricare l’applicazione dannosa nascosto dietro pulsanti e icone dall’aspetto innocuo. Ad esempio, una delle tante varianti dell’app utilizzata in questo attacco aveva un logo Samsung come icona e indicava un falso sito web dell’azienda sudcoreana.

La versione Android dell’attacco utilizza un file .apk. Poiché le app Android possono essere installate liberamente all’esterno del Google Play Store, non c’era bisogno che gli hacker convincessero le vittime a installare un certificato speciale.

Per quanto riguarda le vittime su iOS, dovevano invece essere convinte a installare un certificato aziendale. Se l’utente accettava ed eseguiva l’intero processo, il certificato permetteva all’app dannosa di eludere le protezioni dell’App Store.

La versione iOS dell’app spyware ha utilizzato sei diversi exploit di sistema per estrarre informazioni dal dispositivo, con l’app suddivisa in più parti, ognuna delle quali utilizzava un exploit specifico. Quattro di questi exploit sono stati scovati dalla comunità Jailbreak per bypassare il livello di verifica e sbloccare l’accesso root completo al sistema.

Nello specifico, RCS ha distribuito la sua app falsa agli utenti iOS come app aziendale. Lo spyware si mascherava da app legittima per telecomunicazioni o messaggistica. Queste app distribuite come aziendali funzionano secondo le stesse regole sandbox delle app su App Store, quindi non possono accedere ai file di sistema interni o ai dati degli utenti senza autorizzazione.

Tuttavia, poiché le app aziendali non vengono esaminate da Apple, è più facile per loro sfruttare gli exploit presenti in iOS. Una volta installato lo spyware sul dispositivo della vittima, può catturare l’audio dal microfono, reindirizzare le telefonate, raccogliere foto, messaggi, e-mail e persino la posizione corrente del dispositivo.

Al momento non è chiaro chi siano stati i bersagli dello spyware Hermit, ma sappiamo che è stato acquistato da diversi governi in tutto il mondo. Fortunatamente, Apple ha già bloccato tutti i certificati associati allo spyware e ora non può più essere installato in alcun modo su iOS. Anche tutti gli account associati allo spyware sono stati revocati, quindi l’app dannosa non può più essere distribuita al di fuori dell’App Store.

HotAcquista iPhone 15 su Amazon!
News