تحصل حملة برامج التجسس المعقدة على مساعدة مزودي خدمة الإنترنت لخداع المستخدمين لتنزيل تطبيقات ضارة، وفقًا لـ للبحث تم النشر بواسطة Google’s Threat Analysis Group (TAG).
هذا يؤكد النتائج السابقة التي توصلت إليها مجموعة البحث الأمني Lookout. ربط Lookout برنامج التجسس، المسمى Hermit، ببائع برامج التجسس الإيطالي RCS Labs.
يقول Lookout أن RCS Labs تعمل في نفس الأعمال التي تعمل بها مجموعة NSO وتبيع برامج التجسس التجارية إلى وكالات حكومية مختلفة.
يعتقد الباحثون في Lookout أن Hermit قد تم الترويج له من قبل الحكومة الكازاخستانية والسلطات الإيطالية. يقولون أيضًا إنهم رأوا برامج التجسس منتشرة في شمال سوريا.
قالت Lookout في تحليلها أن Hermit يعمل عبر جميع إصدارات Android. تماشياً مع هذه النتائج، حددت Google ضحايا بارزين وقالت إنها تبلغ المستخدمين المتأثرين.
Hermit هو تهديد نموذجي يمكنه تنزيل قدرات إضافية من خادم القيادة والسيطرة. يسمح ذلك لبرامج التجسس بالوصول إلى سجلات المكالمات والموقع والصور والرسائل النصية عبر جهاز الضحية.
Hermit قادر أيضًا على تسجيل الصوت وإجراء المكالمات الهاتفية واعتراضها بالإضافة إلى الوصول إلى المستخدم الجذر لجهاز Android المصاب، مما يمنح برنامج التجسس وصولاً أعمق إلى بيانات الضحية.
يمكن أن تصيب برامج التجسس كلاً من Android و iPhone عن طريق التنكر كمصدر شرعي، عادةً في شكل شركة اتصالات أو تطبيق مراسلة.
ووجد باحثو الأمن السيبراني في Google أن بعض المهاجمين عملوا مع مزودي خدمة الإنترنت لإيقاف تشغيل بيانات الهاتف المحمول الخاصة بالضحية لتعزيز مخططهم.
بعد ذلك، قد يتظاهر المهاجمون بأنهم مشغلي الهاتف المحمول للضحية عبر الرسائل القصيرة. إنهم يخدعون المستخدمين للاعتقاد بأن تنزيل تطبيق ضار قد يعيد توصيلهم بالإنترنت.
أوضحت Google أنه إذا كان المهاجمون غير قادرين على العمل مع مزود خدمة الإنترنت، فإنهم سيوفرون تطبيقات مراسلة تبدو أصلية لخداع المستخدمين لتنزيلها.
جوجل تحذر ضحايا برامج التجسس Hermit
تقول Google إن التطبيقات التي تحتوي على Hermit لم يتم توفيرها عبر Google Play و App Store. ومع ذلك، تمكن المهاجمون من توزيع التطبيقات المصابة عبر نظام iOS من خلال التسجيل في برنامج Apple Developer Enterprise.
سمح هذا للمهاجمين بتجاوز عملية فحص متجر التطبيقات القياسية. إلى جانب الحصول على شهادة تلبي جميع متطلبات توقيع رمز iOS عبر أي جهاز iOS.
وقالت شركة آبل إنها ألغت منذ ذلك الحين أي حسابات أو شهادات مرتبطة بالتهديد. بالإضافة إلى إخطار المستخدمين المتأثرين، أرسلت Google أيضًا تحديث Google Play Protect إلى جميع المستخدمين لحظر تشغيل التطبيق.