Sofistike bir casus yazılım kampanyası, kullanıcıları kötü niyetli uygulamaları indirmeye ikna etmek için internet servis sağlayıcılarının (ISS’ler) yardımını alıyor. Google’ın Tehdit Analizi Grubu tarafından yayınlanan araştırma (ETİKET) (aracılığıyla TechCrunch). Bu daha önce doğruluyor güvenlik araştırma grubu Lookout’tan bulgularHermit adlı casus yazılımı İtalyan casus yazılım satıcısı RCS Labs ile ilişkilendirdi.
Lookout, RCS Labs’ın Pegasus casus yazılımlarının arkasındaki kötü şöhretli kiralık gözetim şirketi NSO Group ile aynı iş kolunda olduğunu ve çeşitli devlet kurumlarına ticari casus yazılım sattığını söylüyor. Lookout’taki araştırmacılar, Hermit’in Kazakistan hükümeti ve İtalyan makamları tarafından zaten konuşlandırıldığına inanıyor. Bu bulgular doğrultusunda Google, her iki ülkede de mağdurları tespit etti ve etkilenen kullanıcıları bilgilendireceğini söyledi.
Lookout’un raporunda açıklandığı gibi, Hermit, bir komuta ve kontrol (C2) sunucusundan ek yetenekler indirebilen modüler bir tehdittir. Bu, casus yazılımın kurbanın cihazındaki arama kayıtlarına, konuma, fotoğraflara ve metin mesajlarına erişmesini sağlar. Hermit ayrıca ses kaydedebilir, telefon görüşmeleri yapabilir ve araya girebilir ve ayrıca bir Android cihazına kök salabilir ve bu da temel işletim sistemi üzerinde tam kontrol sağlar.
Casus yazılım, kendisini meşru bir kaynak olarak gizleyerek, genellikle bir mobil operatör veya mesajlaşma uygulaması şeklini alarak hem Android’e hem de iPhone’lara bulaşabilir. Google’ın siber güvenlik araştırmacıları, bazı saldırganların, planlarını ilerletmek için kurbanın mobil verilerini kapatmak için gerçekten İSS’lerle çalıştığını buldu. Kötü aktörler daha sonra SMS üzerinden bir kurbanın mobil operatörü gibi davranacak ve kullanıcıları kötü niyetli bir uygulama indirmesinin internet bağlantılarını yeniden kuracağına inandıracaklardır. Saldırganlar bir ISS ile çalışamadıysa, Google, kullanıcıları indirmeye kandırdıkları, görünüşte gerçek mesajlaşma uygulamaları olarak sunduklarını söylüyor.
Lookout ve TAG araştırmacıları, Hermit içeren uygulamaların hiçbir zaman Google Play veya Apple App Store üzerinden kullanıma sunulmadığını söylüyor. Ancak saldırganlar, Apple’ın Developer Enterprise Programına kaydolarak virüslü uygulamaları iOS’ta dağıtabildiler. Bu, kötü niyetli kişilerin App Store’un standart inceleme sürecini atlamasına ve “herhangi bir iOS cihazındaki tüm iOS kod imzalama gereksinimlerini karşılayan” bir sertifika almasına izin verdi.
Apple anlattı Sınır o zamandan beri tehditle ilişkili tüm hesapları veya sertifikaları iptal ettiğini. Google, etkilenen kullanıcıları bilgilendirmenin yanı sıra tüm kullanıcılara bir Google Play Protect güncellemesi gönderdi.