Hermit : un spyware diffusé avec le coup de pouce d'opérateurs en Italie et au Kazakhstan

Félix Cattafesta |

Google met en garde contre le spyware ‌Hermit qui frappe des appareils Android et iOS. Le programme malveillant serait vendu par RCS Lab, une entreprise italienne similaire à Pegasus proposant ses « services » aux gouvernements : ceux-ci peuvent alors tenter d'infecter les téléphones de qui ils veulent pour récupérer des informations. Dans un billet de blog, des chercheurs de Google expliquent avoir identifié des victimes en Italie et au Kazakhstan, tandis que Lookout dit avoir des preuves d'une utilisation dans le nord-est de la Syrie.

Exemple de capture d'écran de l'un des sites contrôlés par l'attaquant (ici un faux site de Meta).

Le schéma d'attaque est assez classique : l'attaquant envoie un lien aux utilisateurs les incitant à télécharger une application. Le programme malveillant se fait par exemple passer pour une messagerie (Facebook, Instagram, WhatsApp) et passe à l'attaque une fois installé. Au total, 6 vulnérabilités ont été repérées, dont deux « zero-day », c'est-à-dire inconnues d'Apple. La plupart ont depuis été corrigées. Ces failles permettaient entre autres de récupérer les bases de données WhatsApp.

La diffusion du spyware s'est faite en dehors de l'App Store, avec un fichier .ipa téléchargeable depuis un site web comme le permet Apple pour les apps internes. Google note que l'entreprise était inscrite à l'Apple Developer Enterprise Program et que son programme était en accord avec les exigences de la Pomme en matière de signature de code iOS. Apple a déclaré à TechCrunch qu'elle avait depuis révoqué tous les comptes ou certificats associés à la menace.

Mais il y a plus étonnant : Google indique que dans certains cas, « les acteurs ont travaillé avec le fournisseur d'accès internet pour désactiver les données mobiles de la cible ». Autrement dit, l'attaquant (potentiellement une agence gouvernementale) se débrouillait pour couper la connexion de sa victime avant de lui demander de passer par une fausse app vérolée de son opérateur pour régler le problème.

Les chercheurs de Google estiment que les fournisseurs de malwares comme RCS Labs « permettent la prolifération d'outils de piratage dangereux et arment des gouvernements qui ne seraient pas en mesure de développer ces capacités en interne ». Si certains pays autorisent ce genre d'outils de surveillance, Google rappelle que leur utilisation est généralement contraire aux valeurs démocratiques, car « ils ciblent les dissidents, les journalistes, les défenseurs des droits de l'homme et les politiciens des partis d'opposition ». Enfin, une entreprise privée accumulant les failles peut elle aussi être piratée, ce qui peut amener des risques beaucoup plus grands.


Source
Image d'accroche : Pixabay
avatar David Finder | 

On dirait que Google a piqué le mantra de Tim Cook 🤣
Tant mieux, en même temps, si Google tient le même langage qu’Apple face à ce genre de menaces.

avatar r e m y | 

"Enfin, une entreprise privée accumulant les failles peut elle aussi être piratée"
Monsieur de La Palisse n'aurait pas su mieux dire! 😌

Par contre je ne comprends pas le sens de la fin "... ce qui peut amener des risques beaucoup plus grands."
Des risques beaucoup plus grands que quoi?
Plus grand que le risque pris par un dissident Kazakh disparaissant dans les geôles gouvernementales ? 🤔

avatar 0MiguelAnge0 | 

@r e m y

En même temps si ce genre de dissident est assez … pour être tenté de cliquer sur un lien pour charger une app en dehors de tout store officiel, il ne semble pas vraiment avoir le profile pour ce genre d’activités…

avatar r e m y | 

Quand vous recevez sur votre iPhone une mise à jour des réglages opérateur, vous faites quoi, vous? Vous refusez de cliquer le bouton OK sous réserve que ça ne vient pas de l'AppStore?
Selon la description c'est à peu près la façon dont s'installe ce malware... plus d'accès Internet et un pop-up qui vous signale une mise à jour opérateur pour régler le problème.

avatar 0MiguelAnge0 | 

@r e m y

Tu as lu uniquement la fin de l’article ou le début ne t’intéressais pas…?!

avatar marc_os | 

@ 0MiguelAnge0

Il me semble que l'un n'exclue pas l'autre... 😎

avatar jb18v | 

@r e m y

Plus de risque quand une société comprenant des centaines ou milliers d’employés est piratée, contre quelques individus à l’unité ? Pas clair non plus pour moi 😅

avatar debione | 

@jb18v:

On a rarement vu une société se faire torturer, ou buter...

CONNEXION UTILISATEUR