谷歌详细介绍了针对 Android 和 iOS 设备的商业间谍软件

谷歌已经警告过针对 Android 和 iOS 移动设备用户的企业级间谍软件。

根据 Google威胁分析小组 (TAG) 研究人员 Benoit Sevens 和 Clement Lecigne，以及 Zero项目，一种独特的政府和企业级 iOS 和 Android 间谍软件变体现在正在活跃流通。

受害者分布在意大利和哈萨克斯坦。

这款名为 Hermit 的间谍软件是模块化监控软件。 在分析了 16 个已知模块中的 25 个后，Lookout 网络安全研究人员表示，该恶意软件将尝试获取设备并具有以下功能：录音、重定向或拨打电话、窃取短信、通话记录、联系人列表、照片等大量信息，并窃取 GPS 位置数据。

Lookout 的分析，已发布 在6月16，提示间谍软件是通过恶意短信发送的。 TAG 的结论类似，发送到目标的唯一链接伪装成互联网服务提供商 (ISP) 或消息传递应用程序发送的消息。

“在某些情况下，我们认为攻击者与目标的 ISP 合作以禁用目标的移动数据连接，”谷歌表示。 “一旦禁用，攻击者将通过短信发送恶意链接，要求目标安装应用程序以恢复其数据连接。”

Lookout 团队只能获得 Android 版本的 Hermit，但现在，谷歌的贡献已将 iOS 样本添加到调查中。 在 Google 或 Apple 官方应用程序存储库中均未找到任何样本。 相反，间谍软件 apps 是从第三方主机下载的。

Android 示例要求受害者在允许安装移动设备后下载 .APK apps 来自未知来源。 该恶意软件将自己伪装成三星应用程序，并将 Firebase 作为其命令和控制 (C2) 基础设施的一部分。

研究人员说：“虽然 APK 本身不包含任何漏洞，但代码暗示存在可以下载和执行的漏洞。”

Google 已通知受该应用影响的 Android 用户，并在 Google Play Protect 中进行了更改，以保护用户免受该应用的恶意活动。 此外，与间谍软件相关的 Firebase 项目已被禁用。

使用从 Apple Developer Enterprise Program 获得的证书签名的 iOS 样本包含可能由六个漏洞触发的权限提升漏洞。

而四（CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907) 是已知的，另外两个—— CVE-2021-30883 和 CVE-2021-30983 — 在 Apple 于 2021 年 XNUMX 月修补它们之前，被怀疑在 XNUMXday 之前被野外利用。iPad 和 iPhone 制造商还撤销了与 Hermit 活动相关的证书。

谷歌和 Lookout 表示，该间谍软件可能归因于 RCS Lab，这是一家自 1993 年开始运营的意大利公司。 

RCS 实验室告诉 TechCrunch 该公司“按照国家和欧洲的规则和法规出口其产品”，并且“产品的任何销售或实施只有在获得主管当局的正式授权后才能进行。”

Hermit 的发行只突出了一个更广泛的问题：蓬勃发展的间谍软件和数字监控行业。

上周，谷歌在欧盟议会调查委员会的听证会上就 Pegasus 和其他商业级间谍软件的使用作证。

TAG 目前正在跟踪 30 多家向政府支持的实体提供漏洞或间谍软件的供应商，并根据 查理斯奈德，谷歌网络安全政策负责人，虽然它们的使用可能是合法的，但“政府经常发现它们被用于与民主价值观背道而驰的目的：针对持不同政见者、记者、人权工作者和政治家。”

“这就是为什么当谷歌发现这些活动时，我们不仅会采取措施保护用户，还会公开披露这些信息以提高认识并帮助生态系统，”斯奈德评论道。 

以前和相关的报道

有小费吗？ 通过WhatsApp安全地联系| 信号在+ 447713 025 499，或在Keybase：charlie0上