根據Google威脅分析小組(TAG)公布的研究,一個複雜的間諜軟件活動正在得到互聯網服務提供商(ISP)內部人士的暗中幫助以欺騙用戶下載惡意的應用程序。這證實了安全研究組織Lookout早些時候的發現,該組織將這種被稱為Hermit的間諜軟件與意大利間諜軟件供應商RCS實驗室聯繫起來。
一個被攻擊和篡改的網站案例
Lookout稱,RCS實驗室與NSO集團 – 也就是PegASUS間諜軟件背後臭名昭著的監控雇傭公司是同一家公司,他們向各國各級政府機構兜售商業間諜軟件。Lookout的研究人員認為Hermit已經被哈薩克斯坦政府和意大利當局部署。根據這些發現,Google已經確定了這兩個國家的受害者,並表示它將通知受影響的用戶。
正如Lookout的報告中所描述的,Hermit是一個模塊化的威脅,可以從一個指揮和控制(C2)服務器上下載額外的功能。這使得間諜軟件能夠訪問受害者設備上的通話記錄、位置、照片和短信。Hermit還能錄製音頻,撥打和攔截電話,以及root到Android設備,這使它能夠完全控制其核心操作系統。
“含有Hermit的應用程序從未通過Google Play或蘋果應用商店提供”
這種間諜軟件可以通過將自己偽裝成合法來源來感染Android和蘋果iPhone手機,通常以移動運營商或消息應用程序的形式出現。Google的網絡安全研究人員發現,一些攻擊者實際上與互聯網服務提供商合作,關閉受害者的移動數據,以推進其計劃。然後,不良行為者會通過短信冒充受害者的移動運營商,欺騙用戶相信下載一個惡意的應用程序將恢復他們的互聯網連接。如果攻擊者無法與互聯網服務供應商合作,Google說他們會冒充看似真實的消息應用程序,欺騙用戶下載。
Lookout和TAG的研究人員說,含有Hermit的應用程序從始至終從未通過Google Play或蘋果應用商店提供。然而,攻擊者卻能夠通過註冊蘋果公司的開發者企業計劃,在iOS上分發受感染的應用程序。這使得不懷好意者可以繞過App Store的標準審查程序,獲得”滿足任何iOS設備上所有iOS代碼簽名要求”的證書。
蘋果公司表示,他們已經注意到並撤銷了與該威脅有關的任何賬戶或證書。除了通知受影響的用戶,Google還向所有用戶推送了Google Play Protect更新。
閱讀安全報告全文:
https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/