Como funciona o Hermit, o spyware que infecta mais de 10.000 pessoas todos os dias

O Google alerta para os perigosos spyware: mais de 10.000 telemóveis são infectados todos os dias na Europa. Depois de Pégaso, vem o Hermit. Google, em colaboração com a empresa ciber-segurança Lookout Threat Lab, publicou recentemente a sua pesquisa que determina que vários governos estão a utilizar spyware destinado a roubar informação privada de utilizadores europeus.

O spyware, aparentemente desenvolvido pela empresa italiana RCS Lab, está alegadamente a utilizar uma combinação de tácticas diferentes com o objectivo de atacar tanto utilizadores de iOS como de Android. De acordo com investigações, foram identificadas vítimas em Itália e no Cazaquistão.

O malware visa mais uma vez o Android, desta vez através de spyware que afecta milhares de pessoas.

Como funciona o Hermit, o spyware que infecta mais de 10.000 pessoas todos os dias

Tal como Pegasus, o Hermit é um spyware utilizado principalmente por agências de inteligência e governos, incluindo os da Itália e do Cazaquistão. Investigações levadas a cabo pelo Google e pelo Lookout determinaram que as agências acima mencionadas terão utilizado o Hermit para aceder a contactos e mensagens privadas armazenadas nos dispositivos dos seus cidadãos.

No entanto, as capacidades do malware vão muito além disso: pode obter dados dos históricos do navegador, ficheiros guardados no armazenamento do dispositivo, ou mesmo rever os históricos do chat das aplicações de mensagens e redes sociais.

O Google explica que o Hermit utiliza uma combinação de técnicas para infectar os dispositivos das suas vítimas. Em todas as campanhas descobertas com este spyware como protagonista, observou-se que o ataque teve origem num único link enviado para o dispositivo do utilizador. Quando acedido, o utilizador foi solicitado a instalar a aplicação maliciosa.

Acredita-se que os atacantes colaboraram com os ISPs para desactivar a ligação de dados móveis dos utilizadores, e subsequentemente enviaram-lhes uma mensagem de texto pedindo-lhes que acedessem a um URL e descarregassem a aplicação infectada pelo Hermit, a fim de recuperarem a conectividade.

Por esta razão, a maioria das aplicações em que o código Hermit foi descoberto estavam a fazer-se passar por aplicações de operadores móveis. Também foi possível encontrar o spyware mascarado como aplicações de mensagens instantâneas. Utilizando estas técnicas, cerca de 10.000 alvos são infectados todos os dias só na Europa.

Imagem de um dispositivo infectado pelo Hermit: o utilizador é solicitado a instalar uma aplicação para voltar a ter acesso às suas contas.

Para infectar os utilizadores do dispositivo Android, foi pedido ao utilizador que activasse a instalação de aplicações a partir de fontes desconhecidas. Posteriormente, com a aplicação já instalada, obteve acesso a um grande número de permissões, muitas das quais eram particularmente sensíveis.

No caso do iOS, as coisas mudam. Uma vez que a Apple impede a instalação de aplicações de fontes fora da App Store, foi determinado que o Hermit utiliza a ferramenta para distribuir as suas próprias aplicações em dispositivos Apple, destinados a empresas e profissionais, algo possível porque a empresa chamada 3-1 Mobile SRL, por detrás da qual estava o RCS Lab, tinha dentro do Programa Apple Developer Enterprise e tinha as permissões necessárias para poder tirar partido deste canal de distribuição.

O Google reforçou as suas medidas de protecção para o Google Play Protect e desactivou os projectos da Firebase utilizados por esta campanha. Todos os utilizadores de dispositivos Android infectados pelo Hermit também foram informados. A Apple, por enquanto, não se pronunciou sobre o assunto.