Google은 Android 및 iOS 기기를 모두 대상으로 하는 상용 스파이웨어에 대해 자세히 설명합니다.

Google은 Android 및 iOS 모바일 장치 사용자를 대상으로 하는 엔터프라이즈급 스파이웨어 변형에 대해 경고했습니다.

에 따르면 Google 위협 분석 그룹 (TAG) 연구원인 Benoit Sevens와 Clement Lecigne 뿐만 아니라 프로젝트 제로, 별개의 정부 및 엔터프라이즈급 iOS 및 Android 스파이웨어 변종이 현재 활발하게 유통되고 있습니다.

피해자는 이탈리아와 카자흐스탄에 있습니다.

Hermit이라는 스파이웨어는 모듈식 감시웨어입니다. Lookout 사이버 보안 연구원들은 알려진 모듈 16개 중 25개를 분석한 후 이 멀웨어가 장치를 루팅하려고 시도하며 오디오 녹음, 리디렉션 또는 전화 걸기, SMS 메시지, 통화 기록, 연락처 목록, 사진과 같은 정보 도용 등의 기능을 가지고 있다고 말했습니다. , GPS 위치 데이터 추출.

Lookout의 분석, 출판 6 월 16, 스파이웨어가 악성 SMS 메시지를 통해 전송되는 것을 제안했습니다. TAG의 결론은 ISP(인터넷 서비스 제공업체) 또는 메시징 응용 프로그램이 보낸 메시지로 가장하여 대상에 전송된 고유 링크와 유사합니다.

구글은 “어떤 경우에는 공격자들이 표적의 ISP와 협력하여 표적의 모바일 데이터 연결을 비활성화했다고 생각한다”고 말했다. "해제되면 공격자는 SMS를 통해 대상에게 데이터 연결을 복구하기 위해 응용 프로그램을 설치하도록 요청하는 악성 링크를 보냅니다."

Lookout 팀은 Android 버전의 Hermit만 보호할 수 있었지만 이제 Google의 기여로 iOS 샘플이 조사에 추가되었습니다. 두 샘플 모두 공식 Google 또는 Apple 앱 저장소에서 찾을 수 없습니다. 대신 스파이웨어가 가득한 apps 타사 호스트에서 다운로드되었습니다.

Android 샘플은 피해자가 모바일 설치를 허용한 후 .APK를 다운로드하도록 요구합니다. apps 알 수 없는 출처에서. 멀웨어는 삼성 앱으로 위장하고 Firebase를 C2(명령 및 제어) 인프라의 일부로 사용했습니다.

연구원들은 "APK 자체에는 익스플로잇이 포함되어 있지 않지만 코드는 다운로드하여 실행할 수 있는 익스플로잇이 있음을 암시합니다."라고 말합니다.

Google은 앱의 영향을 받는 Android 사용자에게 알리고 앱의 악의적인 활동으로부터 사용자를 보호하기 위해 Google Play 프로텍트를 변경했습니다. 또한 스파이웨어와 연결된 Firebase 프로젝트가 비활성화되었습니다.

Apple Developer Enterprise Program에서 얻은 인증서로 서명된 iOS 샘플에는 XNUMX개의 취약점에 의해 유발될 수 있는 권한 상승 익스플로잇이 포함되어 있습니다.

네 동안(CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907)가 알려졌고, 다른 XNUMX명은 — CVE-2021-30883 과 CVE-2021-30983 — Apple이 2021년 XNUMX월에 패치를 적용하기 전에 제로 데이로 야생에서 악용되는 것으로 의심되었습니다. iPad 및 iPhone 제조업체도 Hermit 캠페인과 관련된 인증서를 취소했습니다.

구글과 룩아웃은 이 스파이웨어가 1993년부터 운영되고 있는 이탈리아 회사인 RCS Lab 때문일 가능성이 높다고 밝혔습니다. 

RCS Lab은 TechCrunch에 말했습니다. 회사는 "국가 및 유럽 규칙 및 규정에 따라 제품을 수출"하고 "제품의 모든 판매 또는 구현은 관계 당국의 공식 승인을 받은 후에만 수행됩니다."

Hermit의 유통은 스파이웨어와 디지털 감시 산업의 번성이라는 보다 광범위한 문제만을 강조합니다.

지난주 구글은 페가수스 및 기타 상용 등급 스파이웨어 사용에 대한 EU 의회 조사위원회 청문회에서 증언했다.

TAG는 현재 정부 지원 기관에 익스플로잇 또는 스파이웨어를 제공하는 30개 이상의 공급업체를 추적하고 있습니다. 찰리 스나이더, Google의 사이버 보안 정책 책임자에 따르면 이러한 사용은 합법일 수 있지만 "반체제 인사, 언론인, 인권 활동가 및 정치인을 대상으로 하는 민주주의 가치에 반대되는 목적으로 정부에서 사용하는 경우가 종종 있습니다."

"그래서 Google이 이러한 활동을 발견하면 사용자를 보호하기 위한 조치를 취할 뿐만 아니라 해당 정보를 공개적으로 공개하여 인식을 높이고 생태계를 돕습니다."라고 Snyder가 말했습니다. 

이전 및 관련 보도

팁 있으십니까? WhatsApp를 통해 안전하게 연락하십시오 | + 447713 025 499 또는 Keybase에서 신호 : charlie0