Le groupe d’analyse des menaces (TAG) de Google, un groupe spécialisé dans la surveillance et l’analyse du piratage et des attaques soutenus par le gouvernement, a récemment publié une recherche sur « Hermit« , un logiciel espion créé par les laboratoires italiens RCS qui peut compromettre les appareils Android et iOS. Heureusement, Apple a déjà trouvé un moyen d’arrêter la propagation de ce logiciel espion spécifique sur ses appareils.
Comme le rapporte TechCrunch, le TAG a confirmé l’existence du logiciel espion Hermit, créé par la société de logiciels italienne RCS Lab pour attaquer les utilisateurs iOS et Android. Sur les deux plates-formes, le logiciel espion a été distribué en dehors de l’App Store et de Google Play grâce au processus de chargement latéral.
Une fois l’attaque effectuée, l’utilisateur peu méfiant reçoit un message qui l’avertit qu’il a perdu l’accès à son compte ou à ses services et qu’il devra accéder à un lien spécifique pour les restaurer. Ce lien d’installation est déguisé en fournisseur de services Internet ou en notifications d’applications de messagerie bien connues.
Une fois que la victime ouvre le site lié, on lui montre les logos officiels d’entreprises bien connues et des demandes très réalistes de récupération de compte, avec le lien pour télécharger l’application malveillante cachée derrière des boutons et des icônes d’apparence inoffensive. Par exemple, l’une des nombreuses variantes de l’application utilisée dans cette attaque avait un logo Samsung comme icône et indiquait un faux site Web de la société sud-coréenne.
La version Android de l’attaque utilise un fichier .apk. Étant donné que les applications Android peuvent être librement installées en dehors du Google Play Store, les pirates n’ont pas eu besoin de persuader les victimes d’installer un certificat spécial.
Quant aux victimes sur iOS, il a fallu les convaincre d’installer un certificat d’entreprise à la place. Si l’utilisateur a accepté et effectué l’intégralité du processus, le certificat a permis à l’application malveillante de contourner les protections de l’App Store.
La version iOS de l’application de logiciel espion utilisait six exploits système différents pour extraire des informations de l’appareil, l’application étant divisée en plusieurs parties, chacune utilisant un exploit spécifique. Quatre de ces exploits ont été découverts par la communauté Jailbreak pour contourner le niveau de vérification et déverrouiller l’accès root complet au système.
Plus précisément, RCS a distribué sa fausse application aux utilisateurs d’iOS en tant qu’application professionnelle. Les logiciels espions se sont fait passer pour une application légitime de télécommunications ou de messagerie. Ces applications distribuées en tant qu’entreprise fonctionnent selon les mêmes règles de bac à sable que les applications sur l’App Store, elles ne peuvent donc pas accéder aux fichiers système internes ou aux données utilisateur sans autorisation.
Cependant, comme les applications professionnelles ne sont pas examinées par Apple, il leur est plus facile de tirer parti des exploits trouvés dans iOS. Une fois le logiciel espion installé sur l’appareil de la victime, il peut capturer l’audio du microphone, rediriger les appels téléphoniques, collecter des photos, des messages, des e-mails et même l’emplacement actuel de l’appareil.
Il est actuellement difficile de savoir qui étaient les cibles du logiciel espion Hermit, mais nous savons qu’il a été acheté par plusieurs gouvernements à travers le monde. Heureusement, Apple a déjà bloqué tous les certificats associés aux logiciels espions et maintenant, il ne peut plus être installé de quelque manière que ce soit sur iOS. Tous les comptes associés au logiciel espion ont également été révoqués, de sorte que l’application malveillante ne peut plus être distribuée en dehors de l’App Store.