Google podrobno opisuje komercialno vohunsko programsko opremo, ki cilja tako na naprave Android kot iOS

Google je opozoril na različico vohunske programske opreme za podjetja, ki cilja na uporabnike mobilnih naprav Android in iOS.

Glede na Googlova skupina za analizo groženj (TAG) raziskovalca Benoit Sevens in Clement Lecigne ter Projekt Zero, posebna različica vohunske programske opreme iOS in Android za vladne in poslovne razrede je zdaj v aktivnem obtoku.

Žrtve so našli v Italiji in Kazahstanu.

Vohunska programska oprema, imenovana Hermit, je modularna programska oprema za nadzor. Po analizi 16 od 25 znanih modulov so raziskovalci kibernetske varnosti Lookout povedali, da bo zlonamerna programska oprema poskušala izkoreniniti naprave in ima funkcije, ki vključujejo: snemanje zvoka, preusmerjanje ali opravljanje telefonskih klicev, krajo množice informacij, kot so sporočila SMS, dnevniki klicev, seznami stikov, fotografije in izločanje podatkov o lokaciji GPS.

Objavljena analiza Lookouta junija 16, nakazuje, da je vohunska programska oprema poslana prek zlonamernih sporočil SMS. Zaključek TAG je podoben, z edinstvenimi povezavami, poslanimi tarči, ki se maskirajo kot sporočila, ki jih pošlje ponudnik internetnih storitev (ISP) ali aplikacija za sporočanje.

»V nekaterih primerih verjamemo, da so akterji sodelovali s ciljnim ponudnikom internetnih storitev, da bi onemogočili ciljno mobilno podatkovno povezljivost,« pravi Google. "Ko je onemogočen, bi napadalec poslal zlonamerno povezavo prek SMS-a in od cilja zahteval, naj namesti aplikacijo za obnovitev svoje podatkovne povezave."

Ekipa Lookout je lahko zagotovila samo različico Hermita za Android, zdaj pa je Googlov prispevek k preiskavi dodal vzorec iOS. Nobenega vzorca ni bilo mogoče najti v uradnih Googlovih ali Appleovih repozitorijih aplikacij. Namesto tega obremenjen z vohunsko programsko opremo apps so bili preneseni z gostiteljev tretjih oseb.

Vzorec za Android zahteva, da žrtev prenese .APK, potem ko dovoli namestitev mobilnega telefona apps iz neznanih virov. Zlonamerna programska oprema se je preoblekla v aplikacijo Samsung in uporabljala Firebase kot del svoje infrastrukture za ukaze in nadzor (C2).

"Medtem ko sam APK ne vsebuje nobenih izkoriščanj, koda namiguje na prisotnost izkoriščanj, ki bi jih bilo mogoče prenesti in izvesti," pravijo raziskovalci.

Google je obvestil uporabnike Androida, na katere vpliva aplikacija, in spremenil Google Play Protect, da bi zaščitil uporabnike pred zlonamernimi dejavnostmi aplikacije. Poleg tega so bili projekti Firebase, povezani z vohunsko programsko opremo, onemogočeni.

Vzorec sistema iOS, podpisan s potrdilom, pridobljenim iz programa Apple Developer Enterprise Program, je vseboval izkoriščanje stopnjevanja privilegijev, ki bi ga lahko sprožilo šest ranljivosti.

Medtem ko štirje (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) sta bila znana, dva druga — CVE-2021-30883 in CVE-2021-30983 — so bili domnevno izkoriščeni v divjini kot nič dni, preden jih je Apple popravil decembra 2021. Proizvajalec iPad in iPhone je prav tako preklical certifikate, povezane s kampanjo Hermit.

Google in Lookout pravita, da je vohunsko programsko opremo verjetno mogoče pripisati RCS Lab, italijanskemu podjetju, ki deluje od leta 1993. 

RCS Lab je za TechCrunch povedal da podjetje »izvaža svoje izdelke v skladu tako z nacionalnimi kot evropskimi pravili in predpisi« ter »kakršna koli prodaja ali izvedba izdelkov poteka šele po prejemu uradnega dovoljenja pristojnih organov«.

Hermitova naklada samo poudarja širšo težavo: cvetočo industrijo vohunske programske opreme in digitalnega nadzora.

Prejšnji teden je Google pričal na zaslišanju preiskovalnega odbora Evropskega parlamenta o uporabi Pegasusa in druge komercialne vohunske programske opreme.

TAG trenutno sledi več kot 30 prodajalcem, ki ponujajo izkoriščanja ali vohunsko programsko opremo subjektom, ki jih podpira vlada, in glede na Charley Snyder, vodja politike kibernetske varnosti pri Googlu, čeprav je njihova uporaba morda zakonita, "se pogosto ugotovi, da jih vlade uporabljajo za namene, ki so v nasprotju z demokratičnimi vrednotami: ciljanje na disidente, novinarje, delavce za človekove pravice in politike."

"Zato, ko Google odkrije te dejavnosti, ne le sprejmemo ukrepe za zaščito uporabnikov, ampak te informacije javno razkrijemo, da povečamo ozaveščenost in pomagamo ekosistemu," je komentiral Snyder. 

Prejšnja in s tem povezana pokritost

Imate nasvet? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali več na Keybase: charlie0