לא נעים להכיר: רוגלה חדשה בשם 'הרמיט' פוגעת בסמארטפונים

תוכנת ריגול חדשה, המכונה 'הרמיט' (Hermit), קיבלה עזרה של ספקיות שירות אינטרנט לצורך הפצתה, כך נטען בידי קבוצת האיומים של גוגל. בגוגל אף מספרים בפוסט שעלה בבלוג החברה, כי התוכנה כבר זוהתה אצל משתמשים בקזחסטן ובאיטליה.

לפי הדיווחים, החשיפה הזו של גוגל מאשרת ממצאים דומים של קבוצת המחקר לוקאאוט, שחיברה את התוכנה – הנחשבת כתוכנה דומה לזו שמציעה NSO – לבית תכונה איטלקי בשם RCS Labs. בדומה לפגסוס, מציעה התוכנה אפשרויות ריגול חזקות אחרי משתמשים. בלוקאאוט טוענים שהרמיט כבר נרכשה בידי ממשלת איטליה וקזחסטן, וזו הסיבה כנראה שגוגל מצאה אותה אצל משתמשים באותן מדינות.

בגוגל טוענים, כאמור, שבהתקנות שזיהו חוקרי החברה נעזרו התוקפים בספקיות שירות, כך שהם יכלו להתחזות אליהן, לנתק את השירות, ואז לשלוח מסרון שיוביל אותם לגשת לקישור שמוריד את האפליקציה כדי לחדש, לכאורה, את הקישור למערכת. במקרים אחרים הם ניסו להתחפש לאפליקציות לגיטימיות אחרות.

לאחר ההתקנה, הרמיט יכולה להוריד מרחוק תכונות נוספות, והיא יכולה לגשת לכל הנתונים האישיים ששמורים בטלפון בו היא מותקנת, וכן יכולה לבצע הקלטות קוליות, לבצע שיחות, ולקבל שליטה מלאה על ליבת מערכת ההפעלה, וכל זאת מבלי שהמשתמש בכלל מודע לכך שיש בעיה. התוכנה מתחפשת לתוכנה ממקור לגיטימי, והיא יכולה להגיע למשתמשי אנדרואיד ו-iOS כאחד.

החוקרים של גוגל ושל לוקאאוט טוענים שאפליקציות עם הרמיט לא חדרו לחנויות האפליקציות, לא של גוגל ולא של אפל. עם זאת, במקרה של אפל הצליחו התוקפים להפיץ את התוכנה ישירות על ידי רישום מוצלח לתוכנית המפתחים הארגונית שלה, כך שהיא זכתה לאישור עבור כל מכשיר iOS. אפל בינתיים ביטלה את האישורים, וגוגל שחררה עדכון לאפליקציית החנות שלה, כדי למנוע חדירה.