Специалисты Google Threat Analysis Group (TAG) выявили компанию по распространению шпионского программного обеспечения в Италии и Казахстане, в рамках которой интернет провайдеры помогали распространять ВПО.
Hermit Spyware
Все наблюдаемые TAG кампании начинались с отправки уникальной ссылки. После нажатия на ссылку страница пыталась заставить пользователя загрузить и установить вредоносное приложение на Android или iOS. В некоторых случаях, злоумышленники работали с провайдером, чтобы отключить мобильную связь. После отключения злоумышленник отправлял вредоносную ссылку по SMS с просьбой установить приложение для восстановления подключения к сети. TAG считает, что именно по этой причине большинство приложений маскировались под приложения мобильных операторов. Когда участие провайдера невозможно, приложения маскируются под приложения для обмена сообщениями.
Полученное приложение подписано сертификатом от компании 3-1 Mobile SRL (ID разработчика: 58UP7GFWAA). Сертификат удовлетворяет всем требованиям iOS по подписанию кода на любых устройствах iOS, поскольку компания была включена в программу Apple Developer Enterprise Program.
Эти приложения по-прежнему работают внутри песочницы приложений iOS и подчиняются точно таким же техническим механизмам обеспечения конфиденциальности и безопасности (например, загрузка кода со стороны), как и любые приложения App Store. Однако они могут быть загружены на любое устройство и не требуют установки через App Store.
Приложение состоит из нескольких частей. Оно содержит общую обертку эксплойта повышения привилегий, которая используется шестью различными эксплойтами. Оно также содержит минималистский агент, способный эксфильтрировать интересные файлы с устройства, например, базу данных Whatsapp.
Приложение содержало следующие эксплойты:
- CVE-2018-4344 под внутренним названием и публично известный как LightSpeed.
- CVE-2019-8605, имеющий внутреннее название SockPort2 и публично известный как SockPuppet.
- CVE-2020-3837 под внутренним названием TimeWaste и публично известный как TimeWaste.
- CVE-2020-9907 внутренне упоминается как AveCesare.
- CVE-2021-30883, получивший внутреннее название Clicked2, отмечен Apple в октябре 2021 года, как эксплуатируемый в естественных условиях.
- CVE-2021-30983, внутренне называемый Clicked3, исправлен Apple в декабре 2021 года.
Все эксплойты, используемые до 2021 года, основаны на публичных эксплойтах, написанных различными сообществами джейлбрейкеров. На момент обнаружения CVE-2021-30883 и CVE-2021-30983 были двумя эксплойтами 0-дня.
Indicators of Compromise
IPv4
- 93.39.197.234
- 45.148.30.122
- 2.229.68.182
- 2.228.150.86
Domains
- 119-tim.info
- 133-tre.info
- 146-fastweb.info
- 155-wind.info
- 159-windtre.info
- comtencentmobileqq-6ffb5.appspot.com
- comxdjajxclient.appspot.com
- fb-techsupport.com
- fintur-a111a.appspot.com
- ho-mobile.online
- iliad.info
- kena-mobile.info
- mobilepays.info
- my190.info
- poste-it.info
- project1-c094e.appspot.com
- safekeyservice-972cd.appspot.com
SHA256
- 0759a60e09710321dfc42b09518516398785f60e150012d15be88bbb2ea788db
- 243ea96b2f8f70abc127c8bc1759929e3ad9efc1dec5b51f5788e9896b6d516e
- 6eeb683ee4674fd5553fdc2ca32d77ee733de0e654c6f230f881abf5752696ba
- 8ef40f13c6192bd8defa7ac0b54ce2454e71b55867bdafc51ecb714d02abfd1a
- 9146e0ede1c0e9014341ef0859ca62d230bea5d6535d800591a796e8dfe1dff9
- a98a224b644d3d88eed27aa05548a41e0178dba93ed9145250f61912e924b3e9
- c26220c9177c146d6ce21e2f964de47b3dbbab85824e93908d66fa080e13286f
- e38d7ba21a48ad32963bfe6cb0203afe0839eca9a73268a67422109da282eae3
- fe95855691cada4493641bc4f01eb00c670c002166d6591fe38073dd0ea1d001