Hace unas semanas, el proveedor de seguridad de punto final Lookout publicó sus hallazgos(se abre en una pestaña nueva)sobre una campaña de software espía supuestamente utilizada por los gobiernos para robar datos confidenciales de los usuarios en Kazajstán e Italia. Google ahora ha respaldado ese informe y emitió una advertencia a los usuarios de Android sobre el software espía «Ermitaño».
Según el Grupo de Análisis de Amenazas de Google (se abre en una pestaña nueva)(TAG), los gobiernos colaboraron con proveedores de servicios de Internet (ISP) en varios países para difundir el spyware. Se cree que el malware es capaz de infectar dispositivos Android e iOS.
Hermit está diseñado para atraer a los usuarios desprevenidos para que descarguen aplicaciones maliciosas. Esto ocurre después de que los ISP, en connivencia con los atacantes, apagan la conexión de datos de las víctimas y luego les envían un SMS afirmando que su conexión solo se restablecerá si descargan una aplicación.
Si esta táctica falla, los atacantes disfrazarán el spyware como un servicio legítimo, como un operador de telefonía móvil o una aplicación de mensajería. Una vez instalado en un dispositivo móvil, Hermit descargará módulos desde un servidor de comando y control para obtener capacidades adicionales.
Esto le permite a Hermit acceder a los registros de llamadas, ubicación, fotos y mensajes de texto de los usuarios. El software espía también tiene la capacidad de grabar audio, redirigir llamadas telefónicas y rootear un dispositivo Android para dar a los atacantes un control total.
Lookout vinculó la amenaza al proveedor de software italiano RCS Labs. Dicho esto, la firma afirma que solo brinda apoyo técnico a las agencias gubernamentales en los esfuerzos de interceptación legal, según su sitio web.
Sin embargo, Lookout describe a la empresa de software con sede en Italia como similar a NSO Group, conocida por su software espía Pegasus. Ese programa puede sonar familiar, ya que se ha utilizado para espiar a activistas, periodistas y políticos a través de la vigilancia remota de teléfonos inteligentes sin hacer clic.
RCS Labs dijo a TechCrunch(se abre en una pestaña nueva)que sus productos cumplen con «las normas y reglamentos tanto nacionales como europeos». “Cualquier venta o implementación de productos se realiza solo después de recibir una autorización oficial de las autoridades competentes”, dijo la firma. «Nuestros productos se entregan e instalan dentro de las instalaciones de clientes aprobados».
Los investigadores de Lookout han identificado víctimas en Italia, Kazajstán y el norte de Siria. Google, por su parte, se comprometió a notificar a los usuarios de estos países, aunque no especificó cuántas personas se vieron afectadas.
Tanto Lookout como TAG de Google insisten en que las aplicaciones infectadas con Hermit nunca llegaron a Google Play o Apple App Store. El gigante de las búsquedas también ha lanzado una nueva actualización de Google Play Protect para reforzar la seguridad de todos los teléfonos Android.