I ricercatori del Google Project Zero hanno scoperto in alcuni smartphone di Samsung, tra cui Galaxy S10, A50 e A51, le tracce di uno spyware commerciale che ha sfruttato tre vulnerabilità zero-day. Non è noto il nome dell’azienda che ha venduto il software, ma la catena di infezione è simile a quella di Hermit, il “Pagasus italiano” sviluppato da RCS Labs. Il produttore coreano ha già rilasciato le rispettive patch.
Hermit negli smartphone Samsung?
Le tre vulnerabilità sono state scoperte a fine 2020 e risolte a marzo 2021, ma solo adesso sono stati divulgati i dettagli tecnici. I tre bug erano presenti nel codice custom di Samsung, non nel codice AOSP (Android Open Source Project) o nel kernel di Linux. Lo spyware ha sfruttato le tre vulnerabilità in serie per ottenere i privilegi di root, leggere e scrivere nel kernel e raccogliere numerosi dati sensibili.
Nel codice del malware ci sono riferimenti alle CPU e GPU dei chip Exynos, quindi i bersagli degli attacchi sono utenti che hanno smartphone Samsung con questi SoC. Lo spyware è stato distribuito attraverso un’app Android scaricata all’esterno del Google Play Store. La prima vulnerabilità, che ha dato origine alla catena di infezione, era presente in un componente Java, solitamente poco sfruttati come vettore di attacco.
Come detto, Google e Samsung non hanno svelato il nome dello sviluppatore, ma molto probabilmente si tratta di RCS Labs. Hermit è stato utilizzato come tool di cyberspionaggio. Può accedere a diverse informazioni sensibili, tra cui posizione geografica, foto, video, rubrica e registrazioni audio.