De Threat Analysis Group van Google kwam tot de conclusie dat een ernstige spyware verspreid werd met de hulp van internetserviceproviders. De app zou zich verspreid hebben via Android en iOS door gebruikers te overtuigen kwaadaardige apps te installeren.
“Onze bevindingen onderstrepen de mate waarin verkopers van commerciële beveiliging beschikken over uitgebreide capaciteiten die in het verleden alleen werden gebruikt door overheden met de technische expertise om exploits te ontwikkelen en te operationaliseren. Dit maakt het internet minder veilig en bedreigt het vertrouwen waarvan gebruikers afhankelijk zijn”, leest inleiding van een nieuwe blog gepubliceerd door de Threat Analysis Group (TAG).
Volgens de groep was het van groot maatschappelijk belang het onderzoek dan ook te publiceren. De Hermit-spionagesoftware geeft namelijk toegang tot de oproepgeschiedenis, locatie, foto’s en sms’en van het geïnfecteerde toestel.
Samenwerking met ISP
De spionagesoftware kan verstopt zitten in een legitiem ogende app als WhatsApp of Instagram. TAG zag echter dat in sommige gevallen een samenwerking tussen een criminele bende en een internetserviceprovider (ISP) de data-connectie van een toestel uitschakelde. Het getroffen toestel kreeg vervolgens een sms-bericht met een installatielink voor een app om de connectiviteit te herstellen. Volgde de eigenaar van het toestel de link, dan werd een kwaadaardige app geïnstalleerd.
De spyware heeft al slachtoffers gemaakt in Italië en Kazakstan. De onderzoekers lichtte alle slachtoffers reeds in. Welke gevolgen een dergelijke software kan hebben, maakte de Pegasus spionagesoftware eerder al duidelijk.
lees ook
Journalisten, activisten en politici wereldwijd bespied met Israëlische software
Apps niet openbaar beschikbaar
Volgens TAG waren de kwaadaardige apps op geen enkel moment te downloaden via de appwinkels van Google en Apple. Op iOS kon de app wel verspreid worden via het Developer Enterprise Program van Apple. “Het certificaat voldoet aan alle vereisten voor het ondertekenen van iOS-codes op alle iOS-apparaten”, schrijft TAG over dit proces.
Apple deelde aan The Verge mee dat alle accounts en certificaten die met de spyware gelinkt werden ondertussen zijn verwijderd. Google updatete Google Play Protect ook voor alle gebruikers, al zou er geen misbruik zijn vastgesteld.