イタリアの企業が原因とされるスパイウェア「Hermit」は、AndroidとiOSの両方のユーザーを標的としています。iOSデバイスでは、攻撃者は企業向けアプリを装い、App Storeの外部からスパイウェアを配布していました。AppleはHermitに関連するすべてのアカウントと証明書を失効させ、iOSへのさらなる感染を効果的に防いでいます。

GoogleがHermitスパイウェアの存在を認める

Googleの脅威分析グループ（TAG）は、AndroidとiOSの両方のデバイスに侵入するスパイウェア「Hermit」の存在を確認しました。Googleによると、このスパイウェアはイタリアのソフトウェア企業RCS Labsによって作成されたとのことです。RCS Labsは、iOSとAndroidのユーザーを標的とした初期感染経路として、非定型的なドライブバイダウンロードを含む複数の戦術を組み合わせて使用​​していました。

攻撃者はテキストメッセージでスパイウェアを配布する

Googleによると、攻撃者は悪意のあるリンクを含んだテキストメッセージを送信することでスパイウェアを配布します。このリンクは、iOSユーザーにアプリをダウンロードしてデバイスにインストールするよう仕向けます。幸いなことに、App Storeの複雑なプロセスにより、App Store以外でスパイウェアをインストールするのはやや困難でした。しかし、Googleは依然としてインストールが可能であると指摘しています。

RCS Labsは、App Storeの複雑な審査とインストールプロセスを回避するために、iOSユーザーに偽アプリを配布しています。このスパイウェアはエンタープライズアプリを装っています。App Storeは企業向けに特別な証明書を発行しており、企業はApp Store外で従業員にエンタープライズソフトウェアを配布できます。この偽のエンタープライズアプリは、正規の通信アプリやメッセージングアプリのように見えます。

企業向け配信方法のため、Appleはアプリを審査できません。クパティーノに拠点を置く同社は、App Store以外でインストールされたソフトウェアを審査しません。スパイウェアは、マイクからの音声を盗聴したり、通話をリダイレクトしたり、写真を収集したりするなど、ユーザーのデバイスを悪用します。

Googleとセキュリティ調査会社Lookoutはともに、このスパイウェアがカザフスタンとイタリアのユーザーを被害に遭わせたことを確認した。

Apple、Hermitスパイウェアに関連するアカウントと証明書を失効

Appleの広報担当者はTechCrunchに対し、クパチーノは既にHermitスパイウェアに関連する既知のアカウントと証明書をすべて失効させたと述べた。スパイウェアの標的が誰なのかは不明だが、NSOのPegasusソフトウェアと同様の用途で使用されていると疑われている。Pegasusは、政府機関がジャーナリスト、活動家、そして政敵に対する監視手段として使用していた。