Theo Engadget, nhóm phân tích mối đe dọa (TAG) của Google đã chia sẻ những phát hiện mới của mình liên quan đến RCS Labs - một nhà cung cấp phần mềm gián điệp thương mại có trụ sở tại Ý. Họ liên kết RCS Labs với Hermit - một chương trình gián điệp đã được chính quyền Ý triển khai đầu tiên vào năm 2019 như một phần của hoạt động chống tham nhũng.
Lookout mô tả RCS Labs là một thực thể giống như NSO Group - một doanh nghiệp cung cấp phần mềm gián điệp cho các cơ quan chính phủ của Israel và bị giám sát chặt chẽ gần đây do cung cấp phần mềm gián điệp Pegasus nhắm vào các nhà hoạt động và nhà báo.
Google cho biết Hermit có thể lây nhiễm sang cả thiết bị Android và iOS. Trong một số trường hợp, Google đã quan sát thấy các phần tử độc hại làm việc với nhà cung cấp dịch vụ internet của mục tiêu để vô hiệu hóa kết nối dữ liệu của họ. Sau đó, họ sẽ gửi cho mục tiêu một tin nhắn SMS với lời nhắc tải xuống phần mềm được liên kết để khôi phục kết nối internet của họ. Những kẻ xấu cũng cố gắng ngụy trang phần mềm gián điệp thành một ứng dụng nhắn tin hợp pháp như WhatsApp hoặc Instagram.
Điều khiến Hermit trở nên đặc biệt nguy hiểm là nó có thể đạt được các khả năng bổ sung bằng cách tải xuống các mô-đun từ một máy chủ điều khiển và chỉ huy. Một số add-on mà Lookout quan sát được đã cho phép chương trình lấy cắp dữ liệu từ các ứng dụng lịch và danh bạ của mục tiêu, cũng như chụp ảnh bằng camera trên điện thoại của họ. Thậm chí một add-on còn cung cấp cho phần mềm gián điệp khả năng root một thiết bị Android.
Google tin rằng Hermit không bao giờ đến được Google Play hoặc App Store, tuy nhiên, công ty đã tìm thấy bằng chứng cho thấy những kẻ xấu có thể phát tán phần mềm gián điệp trên iOS bằng cách đăng ký chương trình Developer Enterprise của Apple. "Nhà táo" cho biết công ty đã chặn bất kỳ tài khoản hoặc chứng chỉ nào liên quan đến mối đe dọa. Trong khi đó, Google đã thông báo cho những người dùng bị ảnh hưởng và tung ra bản cập nhật cho Google Play Protect.