O que é um spyware?O que é backdoor em computação?
Na verdade, os primeiros alertas foram dados por analistas de segurança da empresa Lookout. Eles descobriram que o Hermit pode capturar vários tipos de dados, como registros de chamadas telefônicas, fotos, mensagens de SMS, emails, arquivos de log e lista de contatos. Sofisticado que é, o spyware também pode gravar áudio do ambiente, redirecionar chamadas e até obter a localização geográfica do smartphone, tudo isso sem o usuário perceber. Às vezes, relatórios sobre malwares soam como “tempestades em copo d’água”, dado o pouco poder de estrago que muitas dessas pragas têm. Mas não é o caso aqui. Uma semana após o alerta da Lookout, o Google soltou um comunicado confirmando tudo o que já havia sido reportado. Em resumo, o problema é mais sério do que parece.
Espionagem no Cazaquistão e na Itália
A Lookout relata que o Hermit foi desenvolvido pela RCS Lab, uma empresa italiana de software criada há cerca de 30 anos. O desenvolvimento do spyware também teria contado com o apoio da Tykelab SRL, companhia de telecomunicações que, no entendimento da Lookout, pode ser uma operação de fachada. Por que tamanha sofisticação? Tanto a Lookout quanto o Google explicam que o Hermit vem sendo usado em ações de espionagem governamental. Alvos teriam sido identificados no Cazaquistão e na Itália. Também há suspeita de alvos na Síria. O fato de o spyware ter sido reportado só agora não significa que ele é uma “solução” recente. A Lookout relata que, na Itália, autoridades teriam usado o Hermit em 2019, durante uma operação de combate à corrupção.
Como o Hermit atua
Não estranhe se essa história ter te soado familiar. Até certo ponto, o Hermit lembra o Pegasus, spyware que já foi usado contra jornalistas, empresários e ativistas de direitos humanos, por exemplo. Por conta disso, não é exagero afirmar que a RCS Lab é uma desenvolvedora de software tão obscura quanto o NSO Group (organização por trás do Pegasus). O Hermit parece ter um mecanismo de contaminação menos sofisticado em relação ao Pegasus, embora eficiente. A Lookout acredita que o spyware é distribuído por meio de um link em mensagens SMS que se passam por avisos de empresas de telecomunicações ou fabricantes de celulares. Nesse sentido, o Google afirma ter encontrado evidências de que alguns alvos tiveram a conexão à internet cortada. Depois, eles teriam recebido um link para uma ferramenta de operadora que prometia restaurar a conectividade, mas que, na verdade, instalava o spyware. Presumivelmente, essa é uma maneira eficaz de contaminar o smartphone. Ao se passar por um alerta da operadora ou da fabricante do celular, a mensagem tem altas de induzir o usuário a conceder autorização para que a suposta solução seja instalada no aparelho. Links falsos foram encontrados em nome de companhias como Oppo, Samsung e Vivo (a fabricante de celulares, não a operadora). Também há evidências de que o spyware não age da mesma forma com todas as vítimas. A Lookout explica que o Hermit tem pelo menos 25 módulos conhecidos, cada um com recursos diferentes. Logo, módulos podem ser combinados para executar ações pensadas especificamente para cada vítima.
Afeta mais o Android, mas há versão para iOS
Como reação, o Google tem alertado usuários cujos aparelhos acusam contaminação pelo Hermit. Além disso, a companhia afirma ter implementado mudanças no Google Play Protect (recurso de segurança que verifica aplicativos) para aumentar a proteção contra o Hermit e outros spywares. Tudo isso deixa claro que os alvos principais são usuários de Android. Mas o Google explica que também há versões do spyware para iOS, ainda que o seu alcance em iPhones pareça ser menor em relação ao Android. De acordo com os pesquisadores do Google, no iOS, o Hermit explora pelo menos seis falhas de segurança para capturar os dados do usuário. Para contaminar o iPhone, os invasores teriam distribuído um aplicativo falso, mas semelhante ao My Vodafone. Para o app fajuto ser aprovado, aparentemente, a RCS Labs se registrou no Enterprise Developer Program, da Apple, por meio do que seria outra empresa de fachada, a 3-1 Mobile SRL. Outra formas de contaminação não estão descartadas.
Não há motivo para alarde
O assunto é grave, mas não há razão para pânico. Primeiro porque o spyware tem alvos direcionados, ou seja, não se espalha com um vírus (fazendo o máximo possível de vítimas). Segundo porque providências já foram tomadas. Além das medidas já adotadas pelo Google, há algum tempo que a Apple providenciou correções para todas as falhas exploradas. De todo modo, fica o recado. Tomar cuidado com links recebidos por mensagens e manter sistema operacional e aplicativos atualizados continuam sendo práticas importantes de segurança. Procurada pelo TechCrunch, a RCS Lab comentou que “exporta os seus produtos de acordo com as regras e regulamentos nacionais e europeus”. A empresa declarou ainda que a implementação de seus produtos é feita após autorização das autoridades competentes e que não se envolve em nenhuma atividade conduzida por seus clientes.