研究人员在意大利和哈萨克斯坦发现受影响的用户。

根据谷歌威胁分析小组（TAG）（通过TechCrunch）发布的研究，一个复杂的间谍软件活动正在获得互联 服务提供商（ISP）的帮助，以诱骗用户下载恶意应用程序。这证实了安全研究组织Lookout的早期发现，该组织将被称为Hermit的间谍软件与意大利间谍软件供应商RCS Labs联系起来。

Lookout表示，RCS Labs与NSO集团（Pegasus间谍软件背后的臭名昭着的监视租赁公司）处于同一工作状态，并向各个政府机构兜售商业间谍软件。Lookout的研究人员认为，哈萨克斯坦政府和意大利当局已经部署了Hermit。根据这些调查结果，谷歌已经确定了这两个国家的受害者，并表示将通知受影响的用户。

如Lookout的 告所述，Hermit是一种模块化威胁，可以从命令和控制（C2）服务器下载其他功能。这允许间谍软件访问受害者设备上的通话记录，位置，照片和短信。Hermit还能够录制音频，拨打和拦截电话，以及root到Android设备，这使其能够完全控制其核心操作系统。

Lookout和TAG的研究人员表示，包含Hermit的应用程序从未通过Google Play或Apple App Store提供。但是，攻击者可以通过注册Apple的开发人员企业计划在iOS上分发受感染的应用程序。这允许不良行为者绕过App Store的标准审查流程，并获得“满足任何iOS设备上所有iOS代码签名要求”的证书。

苹果称，它已经撤销了与该威胁相关的任何账户或证书。除了通知受影响的用户外，Google还向所有用户推送了Google Play Protect更新。