Google ให้รายละเอียดสปายแวร์เชิงพาณิชย์ที่กำหนดเป้าหมายทั้งอุปกรณ์ Android และ iOS

Google ได้เตือนถึงสายพันธุ์สปายแวร์ระดับองค์กรที่กำหนดเป้าหมายไปยังผู้ใช้อุปกรณ์พกพา Android และ iOS

ตามที่ กลุ่มวิเคราะห์ภัยคุกคามของ Google (TAG) นักวิจัย Benoit Sevens และ Clement Lecigne ตลอดจน โครงการศูนย์ขณะนี้มีสปายแวร์ iOS และ Android ระดับองค์กรที่แตกต่างกันและมีการหมุนเวียนอย่างต่อเนื่อง

เหยื่อถูกตั้งอยู่ในอิตาลีและคาซัคสถาน

สปายแวร์ที่มีชื่อว่า Hermit เป็นซอฟต์แวร์เฝ้าระวังแบบแยกส่วน หลังจากวิเคราะห์ 16 โมดูลจาก 25 โมดูลที่รู้จัก นักวิจัยด้านความปลอดภัยทางไซเบอร์ของ Lookout กล่าวว่ามัลแวร์จะพยายามรูทอุปกรณ์และมีคุณสมบัติต่างๆ ได้แก่ การบันทึกเสียง การเปลี่ยนเส้นทางหรือการโทรออก การขโมยข้อมูลจำนวนมาก เช่น ข้อความ SMS บันทึกการโทร รายชื่อผู้ติดต่อ รูปภาพ และการกรองข้อมูลตำแหน่ง GPS

บทวิเคราะห์ของ Lookout เผยแพร่แล้ว ในเดือนมิถุนายน 16แนะนำว่าสปายแวร์ถูกส่งผ่านข้อความ SMS ที่เป็นอันตราย ข้อสรุปของ TAG มีความคล้ายคลึงกัน โดยมีลิงก์เฉพาะที่ส่งไปยังเป้าหมายที่ปลอมแปลงเป็นข้อความที่ส่งโดยผู้ให้บริการอินเทอร์เน็ต (ISP) หรือแอปพลิเคชันการรับส่งข้อความ

“ในบางกรณี เราเชื่อว่านักแสดงทำงานร่วมกับ ISP ของเป้าหมายเพื่อปิดการเชื่อมต่อข้อมูลมือถือของเป้าหมาย” Google กล่าว “เมื่อปิดใช้งาน ผู้โจมตีจะส่งลิงก์ที่เป็นอันตรายผ่าน SMS เพื่อขอให้เป้าหมายติดตั้งแอปพลิเคชันเพื่อกู้คืนการเชื่อมต่อข้อมูล”

ทีม Lookout สามารถรักษาความปลอดภัยได้เฉพาะ Hermit เวอร์ชัน Android แต่ตอนนี้ การสนับสนุนของ Google ได้เพิ่มตัวอย่าง iOS ในการสืบสวนแล้ว ไม่พบตัวอย่างในที่เก็บแอปอย่างเป็นทางการของ Google หรือ Apple แทนที่จะเป็นสปายแวร์ที่รับภาระ apps ถูกดาวน์โหลดจากโฮสต์บุคคลที่สาม

ตัวอย่าง Android ต้องการให้เหยื่อดาวน์โหลด .APK หลังจากอนุญาตให้ติดตั้ง mobile apps จากแหล่งที่ไม่รู้จัก มัลแวร์ปลอมตัวเป็นแอป Samsung และใช้ Firebase เป็นส่วนหนึ่งของโครงสร้างพื้นฐานคำสั่งและการควบคุม (C2)

“ในขณะที่ APK นั้นไม่มีช่องโหว่ใด ๆ เลย โค้ดดังกล่าวบ่งบอกถึงการมีอยู่ของช่องโหว่ที่สามารถดาวน์โหลดและดำเนินการได้” นักวิจัยกล่าว

Google ได้แจ้งผู้ใช้ Android ที่ได้รับผลกระทบจากแอปและทำการเปลี่ยนแปลงใน Google Play Protect เพื่อปกป้องผู้ใช้จากกิจกรรมที่เป็นอันตรายของแอป นอกจากนี้ โปรเจ็กต์ Firebase ที่เชื่อมโยงกับสปายแวร์ถูกปิดใช้งาน

ตัวอย่าง iOS ที่ลงนามด้วยใบรับรองที่ได้รับจาก Apple Developer Enterprise Program มีช่องโหว่ในการยกระดับสิทธิ์ที่อาจเกิดจากช่องโหว่หกจุด

ในขณะที่สี่ (CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) เป็นที่รู้จักอีกสองคน — CVE-2021-30883 และ CVE-2021-30983 — ถูกสงสัยว่าถูกเอารัดเอาเปรียบในป่าเป็นเวลา 2021 วันก่อนที่ Apple จะแก้ไขพวกเขาในเดือนธันวาคม XNUMX ผู้ผลิต iPad และ iPhone ยังได้เพิกถอนใบรับรองที่เกี่ยวข้องกับแคมเปญ Hermit

Google และ Lookout กล่าวว่าสปายแวร์น่าจะมาจาก RCS Lab ซึ่งเป็นบริษัทสัญชาติอิตาลีที่เปิดดำเนินการมาตั้งแต่ปี 1993 

RCS Lab บอก TechCrunch ว่าบริษัท “ส่งออกผลิตภัณฑ์ตามกฎและข้อบังคับทั้งในประเทศและยุโรป” และ “การขายหรือการนำผลิตภัณฑ์ไปใช้จะดำเนินการหลังจากได้รับอนุญาตอย่างเป็นทางการจากหน่วยงานผู้มีอำนาจเท่านั้น”

การหมุนเวียนของฤาษีเน้นเฉพาะประเด็นที่กว้างขึ้น: สปายแวร์ที่เฟื่องฟูและอุตสาหกรรมการเฝ้าระวังทางดิจิทัล

เมื่อสัปดาห์ที่แล้ว Google ให้การเป็นพยานในการพิจารณาของคณะกรรมการสอบสวนของรัฐสภาสหภาพยุโรปเกี่ยวกับการใช้ Pegasus และสปายแวร์เชิงพาณิชย์อื่นๆ

ขณะนี้ TAG กำลังติดตามผู้ค้ากว่า 30 รายที่เสนอการหาประโยชน์หรือสปายแวร์ให้กับหน่วยงานที่ได้รับการสนับสนุนจากรัฐบาล และเป็นไปตาม ชาร์ลี สไนเดอร์หัวหน้าฝ่ายนโยบายความปลอดภัยทางไซเบอร์ของ Google แม้ว่าการใช้งานอาจถูกกฎหมาย “รัฐบาลมักพบว่ามีการใช้สิ่งเหล่านี้เพื่อจุดประสงค์ที่ตรงกันข้ามกับค่านิยมประชาธิปไตย: กำหนดเป้าหมายผู้เห็นต่าง นักข่าว พนักงานสิทธิมนุษยชน และนักการเมือง”

“นั่นคือเหตุผลที่เมื่อ Google ค้นพบกิจกรรมเหล่านี้ เราไม่เพียงแต่ดำเนินการเพื่อปกป้องผู้ใช้ แต่ยังเปิดเผยข้อมูลดังกล่าวต่อสาธารณะเพื่อสร้างความตระหนักรู้และช่วยเหลือระบบนิเวศ” สไนเดอร์ให้ความเห็น 

ความคุ้มครองก่อนหน้าและที่เกี่ยวข้อง

มีเคล็ดลับ? ติดต่ออย่างปลอดภัยผ่าน WhatsApp | สัญญาณที่ +447713 025 499 ขึ้นไปที่ Keybase: charlie0