Google tiedottaa kaupallisista vakoiluohjelmista, jotka kohdistuvat sekä Android- että iOS-laitteisiin

Google on varoittanut yritystason vakoiluohjelmien kannasta, joka kohdistuu Android- ja iOS-mobiililaitteiden käyttäjiin.

Mukaan Google Threat Analysis Group (TAG) tutkijat Benoit Sevens ja Clement Lecigne sekä Project Zero, erillinen valtion- ja yritystason iOS- ja Android-vakoiluohjelmaversio on nyt aktiivisessa liikkeessä.

Uhreja on löydetty Italiasta ja Kazakstanista.

Vakoiluohjelma, nimeltään Hermit, on modulaarinen valvontaohjelma. Analysoituaan 16 25 tunnetusta moduulista, Lookoutin kyberturvallisuustutkijat sanoivat, että haittaohjelma yrittää rootata laitteet ja sisältää ominaisuuksia, kuten äänen tallentamisen, uudelleenohjauksen tai puheluiden soittamisen, tietojen, kuten tekstiviestien, puhelulokien, yhteystietoluetteloiden ja valokuvien, varastamisen. ja GPS-sijaintitietojen suodattaminen.

Lookoutin analyysi, julkaistu kesäkuussa 16, ehdotti, että vakoiluohjelma lähetetään haitallisina tekstiviesteinä. TAG:n johtopäätös on samanlainen: kohteeseen lähetetyt yksilölliset linkit naamioituvat Internet-palveluntarjoajan (ISP) tai viestintäsovelluksen lähettämiksi viesteiksi.

"Joissakin tapauksissa uskomme, että toimijat tekivät yhteistyötä kohteen Internet-palveluntarjoajan kanssa estääkseen kohteen mobiilidatayhteyden", Google sanoo. "Kun se on poistettu käytöstä, hyökkääjä lähettää haitallisen linkin tekstiviestillä ja pyysi kohdetta asentamaan sovelluksen datayhteyden palauttamiseksi."

Lookout-tiimi pystyi turvaamaan vain Android-version Hermitistä, mutta nyt Googlen panos on lisännyt tutkimukseen iOS-näytteen. Kumpaakaan näytettä ei löytynyt virallisista Googlen tai Applen sovellusvarastoista. Sen sijaan vakoiluohjelmia täynnä apps ladattiin kolmannen osapuolen isänniltä.

Android-esimerkki edellyttää, että uhri lataa .APK:n mobiililaitteen asennuksen sallimisen jälkeen apps tuntemattomista lähteistä. Haittaohjelma naamioitui Samsung-sovellukseksi ja käytti Firebasea osana komento- ja ohjausinfrastruktuuriaan (C2).

"Vaikka APK itsessään ei sisällä mitään hyväksikäyttöä, koodi vihjaa hyökkäyksien olemassaoloon, jotka voidaan ladata ja suorittaa", tutkijat sanovat.

Google on ilmoittanut Android-käyttäjille, joihin sovellus vaikuttaa, ja tehnyt muutoksia Google Play Protectiin suojellakseen käyttäjiä sovelluksen haitallisilta toimilta. Lisäksi vakoiluohjelmiin liittyvät Firebase-projektit on poistettu käytöstä.

iOS-näyte, joka oli allekirjoitettu Apple Developer Enterprise -ohjelmasta saadulla varmenteella, sisälsi oikeuksien eskaloinnin hyväksikäytön, jonka kuusi haavoittuvuutta saattoi laukaista.

Vaikka neljä (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) tunnettiin, kaksi muuta - CVE-2021-30883 ja CVE-2021-30983 — epäiltiin hyväksikäytöstä luonnossa nolla päivää ennen kuin Apple korjasi ne joulukuussa 2021. iPadin ja iPhonen valmistaja on myös peruuttanut Hermit-kampanjaan liittyvät sertifikaatit.

Google ja Lookout sanovat, että vakoiluohjelmat johtuvat todennäköisesti vuodesta 1993 toimineesta italialaisesta RCS Labista. 

RCS Lab kertoi TechCrunchille että yritys "vie tuotteitaan sekä kansallisten että eurooppalaisten sääntöjen ja määräysten mukaisesti" ja "tuotteiden myynti tai käyttöönotto tapahtuu vasta saatuaan virallisen luvan toimivaltaisilta viranomaisilta".

Hermitin levikki korostaa vain laajempaa ongelmaa: kukoistavaa vakoilu- ja digitaalivalvontateollisuutta.

Google todisti viime viikolla EU:n parlamentaarisen tutkintavaliokunnan kuulemisessa Pegasuksen ja muiden kaupallisten vakoiluohjelmien käytöstä.

TAG seuraa tällä hetkellä yli 30 toimittajaa, jotka tarjoavat hyväksikäyttöä tai vakoiluohjelmia valtion tukemille tahoille. Charley Snyder, Googlen kyberturvallisuuspolitiikan päällikkö, vaikka niiden käyttö saattaa olla laillista, "hallitukset käyttävät niitä usein demokraattisten arvojen vastaisiin tarkoituksiin: toisinajattelijoihin, toimittajiin, ihmisoikeustyöntekijöihin ja poliitikkoihin."

"Siksi, kun Google havaitsee nämä toimet, emme vain ryhdy toimiin käyttäjien suojelemiseksi, vaan myös paljastamme tiedot julkisesti lisätäksemme tietoisuutta ja auttaaksemme ekosysteemiä", Snyder kommentoi. 

Edellinen ja niihin liittyvä kattavuus

Onko kärki? Ota yhteyttä turvallisesti WhatsAppin kautta Signaali on + 447713 025 499 tai yli Keybasessa: charlie0