Com alvos direcionados, spyware Hermit pode coletar fotos, emails, registros de chamadas e até localização geográfica
Não precisa olhar com desconfiança para o seu celular, mas saiba que ele está sujeito a um grande perigo. O Google está alertando usuários de Android sobre o Hermit, um sofisticado spyware que, como tal, pode coletar vários tipos de dados do aparelho. E piora. A companhia descobriu que também há versões para iPhone.
Na verdade, os primeiros alertas foram dados por analistas de segurança da empresa Lookout. Eles descobriram que o Hermit pode capturar vários tipos de dados, como registros de chamadas telefônicas, fotos, mensagens de SMS, emails, arquivos de log e lista de contatos.
Sofisticado que é, o spyware também pode gravar áudio do ambiente, redirecionar chamadas e até obter a localização geográfica do smartphone, tudo isso sem o usuário perceber.
Às vezes, relatórios sobre malwares soam como “tempestades em copo d’água”, dado o pouco poder de estrago que muitas dessas pragas têm. Mas não é o caso aqui. Uma semana após o alerta da Lookout, o Google soltou um comunicado confirmando tudo o que já havia sido reportado.
Em resumo, o problema é mais sério do que parece.
Espionagem no Cazaquistão e na Itália
A Lookout relata que o Hermit foi desenvolvido pela RCS Lab, uma empresa italiana de software criada há cerca de 30 anos. O desenvolvimento do spyware também teria contado com o apoio da Tykelab SRL, companhia de telecomunicações que, no entendimento da Lookout, pode ser uma operação de fachada.
Por que tamanha sofisticação? Tanto a Lookout quanto o Google explicam que o Hermit vem sendo usado em ações de espionagem governamental. Alvos teriam sido identificados no Cazaquistão e na Itália. Também há suspeita de alvos na Síria.
O fato de o spyware ter sido reportado só agora não significa que ele é uma “solução” recente. A Lookout relata que, na Itália, autoridades teriam usado o Hermit em 2019, durante uma operação de combate à corrupção.
Como o Hermit atua
Não estranhe se essa história ter te soado familiar. Até certo ponto, o Hermit lembra o Pegasus, spyware que já foi usado contra jornalistas, empresários e ativistas de direitos humanos, por exemplo.
Por conta disso, não é exagero afirmar que a RCS Lab é uma desenvolvedora de software tão obscura quanto o NSO Group (organização por trás do Pegasus).
O Hermit parece ter um mecanismo de contaminação menos sofisticado em relação ao Pegasus, embora eficiente. A Lookout acredita que o spyware é distribuído por meio de um link em mensagens SMS que se passam por avisos de empresas de telecomunicações ou fabricantes de celulares.
Nesse sentido, o Google afirma ter encontrado evidências de que alguns alvos tiveram a conexão à internet cortada. Depois, eles teriam recebido um link para uma ferramenta de operadora que prometia restaurar a conectividade, mas que, na verdade, instalava o spyware.
Presumivelmente, essa é uma maneira eficaz de contaminar o smartphone. Ao se passar por um alerta da operadora ou da fabricante do celular, a mensagem tem altas de induzir o usuário a conceder autorização para que a suposta solução seja instalada no aparelho.
Links falsos foram encontrados em nome de companhias como Oppo, Samsung e Vivo (a fabricante de celulares, não a operadora).
Também há evidências de que o spyware não age da mesma forma com todas as vítimas. A Lookout explica que o Hermit tem pelo menos 25 módulos conhecidos, cada um com recursos diferentes. Logo, módulos podem ser combinados para executar ações pensadas especificamente para cada vítima.
Afeta mais o Android, mas há versão para iOS
Como reação, o Google tem alertado usuários cujos aparelhos acusam contaminação pelo Hermit. Além disso, a companhia afirma ter implementado mudanças no Google Play Protect (recurso de segurança que verifica aplicativos) para aumentar a proteção contra o Hermit e outros spywares.
Tudo isso deixa claro que os alvos principais são usuários de Android. Mas o Google explica que também há versões do spyware para iOS, ainda que o seu alcance em iPhones pareça ser menor em relação ao Android.
De acordo com os pesquisadores do Google, no iOS, o Hermit explora pelo menos seis falhas de segurança para capturar os dados do usuário.
Para contaminar o iPhone, os invasores teriam distribuído um aplicativo falso, mas semelhante ao My Vodafone. Para o app fajuto ser aprovado, aparentemente, a RCS Labs se registrou no Enterprise Developer Program, da Apple, por meio do que seria outra empresa de fachada, a 3-1 Mobile SRL.
Outra formas de contaminação não estão descartadas.
Não há motivo para alarde
O assunto é grave, mas não há razão para pânico. Primeiro porque o spyware tem alvos direcionados, ou seja, não se espalha com um vírus (fazendo o máximo possível de vítimas). Segundo porque providências já foram tomadas.
Além das medidas já adotadas pelo Google, há algum tempo que a Apple providenciou correções para todas as falhas exploradas.
De todo modo, fica o recado. Tomar cuidado com links recebidos por mensagens e manter sistema operacional e aplicativos atualizados continuam sendo práticas importantes de segurança.
Procurada pelo, a RCS Lab comentou que “exporta os seus produtos de acordo com as regras e regulamentos nacionais e europeus”. A empresa declarou ainda que a implementação de seus produtos é feita após autorização das autoridades competentes e que não se envolve em nenhuma atividade conduzida por seus clientes.