گروه تحلیل تهدیدات گوگل هشدار می دهد که یک نرم افزار جاسوسی جدید از یک شرکت امنیتی ایتالیایی راه خود را در صحنه هک تلفن اندروید باز کرده است. آزمایشگاه RCS که در میلان مستقر است، جاسوسافزاری را ساخته است که شبیه برنامه بدنام پگاسوس توسط شرکت اسرائیلی NSO Group است که پس از نصب میتواند فعالیتهای تلفن شما را شناسایی نشده ثبت کند. تفاوت این است که ابزارهای جاسوسی آزمایشگاه RCS در مجموع هرمیت نامیده میشوند، هم اندروید و هم آیفون را هدف قرار میدهند، اگرچه اپل میگوید تمام حسابها و گواهیهای شناخته شده مرتبط با هک Hermit را حذف کرده است.
به نوبه خود، RCS Lab ادعا می کند که تمام نرم افزارهای آن با مقررات اتحادیه اروپا مطابقت دارد و ارائه دهنده پیشرو اروپایی خدمات کامل رهگیری قانونی است، با بیش از 10000 هدف رهگیری شده روزانه تنها در اروپا انجام شده است. این اهداف شامل آیفون و اندروید می شود. در ایتالیا و قزاقستان، تیم TAG گوگل متوجه شد که شرکتهایی مانند RCS در حال گسترش ابزارهای هک خطرناک و مسلح کردن دولتهایی هستند که قادر به توسعه این قابلیتها در داخل نیستند.
گوگل به افرادی که تحت تاثیر هرمیت و آسیب دیده هستند اطلاع داده است. چگونگی گسترش ابزار هک را با کلیک کردن روی یک پیوند در یک پیام به منظور هشدار دادن به کاربران اندرویدی مشخص کرد. در برخی موارد، ما معتقدیم که بازیگران با ISP هدف (ارائهدهنده خدمات اینترنت) برای غیرفعال کردن اتصال داده تلفن همراه هدف، کار کردند. پس از غیرفعال شدن، مهاجم یک پیوند مخرب از طریق پیامک ارسال میکند و از هدف میخواهد برنامهای را برای بازیابی اتصال دادههای خود نصب کند. محققان Lookout میافزایند که هرمیت کاربران را با ارائه صفحههای وب قانونی برندهایی که جعل میکند فریب میدهد و فعالیتهای مخرب را آغاز میکند. در پس زمینه. هرمیت در حالی که مانند Pegasus یک اکسپلویت صفر کلیک نیست، همچنان میتواند آنچه را که تایپ میکنید، صحبت میکنید یا مکان شما را ردیابی کند، و به همین دلیل است که گوگل زنگ هشدار را به صدا در میآورد.
گوگل به قربانیان در قزاقستان و ایتالیا هشدار می دهد که توسط هرمیت، یک نرم افزار جاسوسی پیچیده و ماژولار از آزمایشگاه های ایتالیایی RCS که نه تنها می تواند داده ها را بدزدد، بلکه ضبط و تماس برقرار کند، هدف قرار می گیرند.
محققان در مورد کمپین هایی که پیوندی منحصر به فرد را به اهدافی به برنامه های جعلی جعل هویت برنامه های قانونی ارسال می کنند و سعی می کنند آنها را مجبور به دانلود و نصب نرم افزارهای جاسوسی کنند، افشا کردند. با این حال، آنها گفتند که هیچ یک از برنامه های جعلی در فروشگاه های اپلیکیشن موبایل اپل یا گوگل یافت نشد.
TAG این قابلیتها را به فروشنده نرمافزار نظارتی بدنام RCS Labs نسبت میدهد، که قبلاً با فعالیت جاسوسافزاری مرتبط بود که توسط یک عامل دولت قزاقستان علیه اهداف داخلی به کار گرفته شده بود و توسط تحقیقات Lookout شناسایی شده بود.
یکی از سخنگویان گوگل نوشت: «ما قابلیتهایی را که به RCS Labs نسبت میدهیم، یک فروشنده ایتالیایی که از ترکیبی از تاکتیکها استفاده میکند، از جمله دانلودهای غیرمعمول بهعنوان ناقل عفونت اولیه، برای هدف قرار دادن کاربران تلفن همراه در iOS و Android استفاده میکند.
محققان در این پست نوشتند، همه کمپینهایی که TAG مشاهده کرد، با یک پیوند منحصربهفرد به هدف ارسال شده بود که سپس سعی میکند کاربران را به یکی از دو روش برای دانلود نرمافزار جاسوسی Hermit فریب دهد. پس از کلیک کردن، قربانیان برای دانلود و نصب یک برنامه نظارت در اندروید یا iOS به یک صفحه وب هدایت می شوند.این صفحه به زبان ایتالیایی از کاربر میخواهد یکی از این برنامهها را نصب کند تا حساب خود را بازیابی کند. با لینکهای دانلود واتساپ به طور خاص به محتوای کنترلشده توسط مهاجم برای کاربران اندروید یا iOS اشاره میشود.
کمپین iOS فاش شد
در حالی که Lookout قبلاً جزئیاتی از نحوه عملکرد هرمیت هدف قرار دادن دستگاههای اندرویدی را به اشتراک گذاشته بود، گوگل جزئیات نحوه عملکرد این نرمافزار جاسوسی را در آیفونها فاش کرد.
آنها همچنین جزئیات میزبان آسیبپذیریها را منتشر کردند
به گفته محققان، برنامه iOS خود به بخشهای متعددی تقسیم میشود، از جمله یک بستهبندی بهرهبرداری افزایش امتیاز عمومی که توسط شش اکسپلویت مختلف برای باگهای شناسایی شده قبلی استفاده میشود. علاوه بر Clieked3، سایر اشکالات مورد سوء استفاده قرار می گیرند