Google alerta sobre Hermit, um poderoso spyware para Android e iPhone

Com alvos direcionados, spyware Hermit pode coletar fotos, emails, registros de chamadas e até localização geográfica

Emerson Alecrim

Não precisa olhar com desconfiança para o seu celular, mas saiba que ele está sujeito a um grande perigo. O Google está alertando usuários de Android sobre o Hermit, um sofisticado spyware que, como tal, pode coletar vários tipos de dados do aparelho. E piora. A companhia descobriu que também há versões para iPhone.

Spyware em celular (imagem ilustrativa: Sora Shimazaki/Pexels)
Spyware em celular (imagem ilustrativa: Sora Shimazaki/Pexels)

Na verdade, os primeiros alertas foram dados por analistas de segurança da empresa Lookout. Eles descobriram que o Hermit pode capturar vários tipos de dados, como registros de chamadas telefônicas, fotos, mensagens de SMS, emails, arquivos de log e lista de contatos.

Sofisticado que é, o spyware também pode gravar áudio do ambiente, redirecionar chamadas e até obter a localização geográfica do smartphone, tudo isso sem o usuário perceber.

Às vezes, relatórios sobre malwares soam como “tempestades em copo d’água”, dado o pouco poder de estrago que muitas dessas pragas têm. Mas não é o caso aqui. Uma semana após o alerta da Lookout, o Google soltou um comunicado confirmando tudo o que já havia sido reportado.

Em resumo, o problema é mais sério do que parece.

Espionagem no Cazaquistão e na Itália

A Lookout relata que o Hermit foi desenvolvido pela RCS Lab, uma empresa italiana de software criada há cerca de 30 anos. O desenvolvimento do spyware também teria contado com o apoio da Tykelab SRL, companhia de telecomunicações que, no entendimento da Lookout, pode ser uma operação de fachada.

Por que tamanha sofisticação? Tanto a Lookout quanto o Google explicam que o Hermit vem sendo usado em ações de espionagem governamental. Alvos teriam sido identificados no Cazaquistão e na Itália. Também há suspeita de alvos na Síria.

O fato de o spyware ter sido reportado só agora não significa que ele é uma “solução” recente. A Lookout relata que, na Itália, autoridades teriam usado o Hermit em 2019, durante uma operação de combate à corrupção.

Como o Hermit atua

Não estranhe se essa história ter te soado familiar. Até certo ponto, o Hermit lembra o Pegasus, spyware que já foi usado contra jornalistas, empresários e ativistas de direitos humanos, por exemplo.

Por conta disso, não é exagero afirmar que a RCS Lab é uma desenvolvedora de software tão obscura quanto o NSO Group (organização por trás do Pegasus).

O Hermit parece ter um mecanismo de contaminação menos sofisticado em relação ao Pegasus, embora eficiente. A Lookout acredita que o spyware é distribuído por meio de um link em mensagens SMS que se passam por avisos de empresas de telecomunicações ou fabricantes de celulares.

Nesse sentido, o Google afirma ter encontrado evidências de que alguns alvos tiveram a conexão à internet cortada. Depois, eles teriam recebido um link para uma ferramenta de operadora que prometia restaurar a conectividade, mas que, na verdade, instalava o spyware.

Presumivelmente, essa é uma maneira eficaz de contaminar o smartphone. Ao se passar por um alerta da operadora ou da fabricante do celular, a mensagem tem altas de induzir o usuário a conceder autorização para que a suposta solução seja instalada no aparelho.

Mensagem falsa em nome da Oppo (imagem: divulgação/Lookout)
Mensagem falsa em nome da Oppo (imagem: divulgação/Lookout)

Links falsos foram encontrados em nome de companhias como Oppo, Samsung e Vivo (a fabricante de celulares, não a operadora).

Também há evidências de que o spyware não age da mesma forma com todas as vítimas. A Lookout explica que o Hermit tem pelo menos 25 módulos conhecidos, cada um com recursos diferentes. Logo, módulos podem ser combinados para executar ações pensadas especificamente para cada vítima.

Afeta mais o Android, mas há versão para iOS

Como reação, o Google tem alertado usuários cujos aparelhos acusam contaminação pelo Hermit. Além disso, a companhia afirma ter implementado mudanças no Google Play Protect (recurso de segurança que verifica aplicativos) para aumentar a proteção contra o Hermit e outros spywares.

Tudo isso deixa claro que os alvos principais são usuários de Android. Mas o Google explica que também há versões do spyware para iOS, ainda que o seu alcance em iPhones pareça ser menor em relação ao Android.

De acordo com os pesquisadores do Google, no iOS, o Hermit explora pelo menos seis falhas de segurança para capturar os dados do usuário.

Para contaminar o iPhone, os invasores teriam distribuído um aplicativo falso, mas semelhante ao My Vodafone. Para o app fajuto ser aprovado, aparentemente, a RCS Labs se registrou no Enterprise Developer Program, da Apple, por meio do que seria outra empresa de fachada, a 3-1 Mobile SRL.

Outra formas de contaminação não estão descartadas.

iPhone 12 Mini e iPhone XR (imagem: Emerson Alecrim/Tecnoblog)
iPhone 12 Mini e iPhone XR (imagem: Emerson Alecrim/Tecnoblog)

Não há motivo para alarde

O assunto é grave, mas não há razão para pânico. Primeiro porque o spyware tem alvos direcionados, ou seja, não se espalha com um vírus (fazendo o máximo possível de vítimas). Segundo porque providências já foram tomadas.

Além das medidas já adotadas pelo Google, há algum tempo que a Apple providenciou correções para todas as falhas exploradas.

De todo modo, fica o recado. Tomar cuidado com links recebidos por mensagens e manter sistema operacional e aplicativos atualizados continuam sendo práticas importantes de segurança.

Procurada pelo TechCrunch, a RCS Lab comentou que “exporta os seus produtos de acordo com as regras e regulamentos nacionais e europeus”. A empresa declarou ainda que a implementação de seus produtos é feita após autorização das autoridades competentes e que não se envolve em nenhuma atividade conduzida por seus clientes.

Leia | Como funciona o mSpy? Conheça o app de controle parental usado para espionar o celular

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.