Hermit adlı gelişmiş bir mobil casus yazılımın Kazakistan hükümeti tarafından sınırları içinde kullanıldığının ortaya çıkmasından bir hafta sonra Google, Android kullanıcılarını virüslü cihazlar konusunda bilgilendirdiğini söyledi.
Ek olarak, gerekli değişiklikler uygulandı. Google Play Koruması — Android’in yerleşik kötü amaçlı yazılım savunma hizmeti — tüm kullanıcıları korumak için, Google Tehdit Analizi Grubu’ndan (TAG) Benoit Sevens ve Clement Lecigne söz konusu Perşembe raporunda.
RCS Lab adlı bir İtalyan satıcının çalışması olan Hermit, geçen hafta Lookout tarafından modüler özellik setini ve çağrı kayıtları, kişiler, fotoğraflar, kesin konum ve SMS mesajları gibi hassas bilgileri toplama yeteneklerini ortaya koyarak belgelendi.
Tehdit kendini bir cihaza iyice sızdırdığında, kurbanlar tarafından kullanılan ön plan uygulamalarını takip etmek için erişilebilirlik hizmetleri izinlerini kötüye kullanmanın yanı sıra, ses kaydı yapmak ve telefon görüşmeleri yapmak ve yönlendirmek için de donatılmıştır.
Modülerliği, casus yazılımın işlevselliğini isteğe bağlı olarak genişletilebilecek veya değiştirilebilecek şekilde donatarak tamamen özelleştirilebilir olmasını da sağlar. Kampanyada kimin hedeflendiği veya RCS Lab istemcilerinden hangilerinin dahil olduğu hemen belli değil.
1993 yılından beri faaliyet gösteren Milano merkezli şirket, iddialar “Yirmi yıldan fazla bir süredir yasal müdahale alanında dünya çapındaki kolluk kuvvetlerine en son teknolojik çözümler ve teknik destek” sağlamak. Sadece Avrupa’da her gün 10.000’den fazla ele geçirilen hedefin ele alındığı iddia ediliyor.
Zimperium için tehdit raporlama direktörü Richard Melick, “Hermit, sivilleri ve mobil cihazlarını hedef almak için kullanılan bir dijital silahın başka bir örneğidir ve ilgili kötü niyetli taraflarca toplanan veriler kesinlikle çok değerli olacaktır.” Dedi.
Hedefler, telefonlarına, ilk enfeksiyon vektörleri olarak önden yüklemeler yoluyla casus aracı bulaştırıyor ve bu da, tıklama üzerine saldırı zincirini etkinleştiren bir SMS mesajında benzersiz bir bağlantı göndermeyi gerektiriyor.
Aktörlerin, mobil veri bağlantılarını devre dışı bırakmak için hedeflerin internet servis sağlayıcıları (ISS’ler) ile işbirliği içinde çalıştıklarından ve ardından alıcıları mobil veri erişimini geri yüklemek için bir uygulama yüklemeye teşvik eden bir SMS gönderdiğinden şüpheleniliyor.
Araştırmacılar, “Uygulamaların çoğunun mobil operatör uygulamaları gibi görünmesinin nedeninin bu olduğuna inanıyoruz” dedi. “ISS katılımı mümkün olmadığında, uygulamalar mesajlaşma uygulamaları olarak maskelenir.”
İOS kullanıcılarını tehlikeye atmak için, saldırganın, sahte operatör markalı uygulamaların, App Store’da bulunmalarına gerek kalmadan cihazlara yan taraftan yüklenmesine izin veren profil hazırlamaya güvendiği söyleniyor.
Uygulamanın iOS sürümünün analizi, altı adede kadar açıktan yararlandığını gösteriyor — CVE-2018-4344, CVE-2019-8605, CVE-2020-3837, CVE-2020-9907CVE-2021-30883 ve CVE-2021-30983 — WhatsApp veritabanları gibi ilgili dosyaları cihazdan sızdırmak için.
Google Project Zero’dan Ian Beer, “Eğri yavaş yavaş bellek bozulması sömürüsünün daha pahalı hale gelmesine doğru kayarken, saldırganlar da muhtemelen değişiyor” söz konusu My Vodafone operatör uygulamasının kimliğine bürünen bir iOS yapıtının derinlemesine analizinde.
Android’de, arabayla gelen saldırılar, kurbanların bilinmeyen kaynaklardan üçüncü taraf uygulamaları yüklemek için bir ayarı etkinleştirmesini gerektiriyor; bunu yapmak, Samsung gibi akıllı telefon markaları gibi görünen hileli uygulamanın, kötü niyetli hedeflerine ulaşmak için kapsamlı izinler talep etmesine neden oluyor.
Android varyantı, yerleşik erişim için cihazı köklendirmeye çalışmanın yanı sıra, APK dosyasındaki açıkları bir araya getirmek yerine, ana uygulama ile iletişim kurabilen rastgele uzak bileşenleri getirmesine ve yürütmesine izin veren işlevsellik içermesi bakımından farklı bir şekilde kablolanmıştır.
Araştırmacılar, “Bu kampanya, saldırganların ihtiyaç duydukları izinleri elde etmek için her zaman açıklardan yararlanmadıklarını iyi bir hatırlatıcıdır” dedi. “Temel virüs bulaşma vektörleri ve indirmeye dayalı işlemler hala çalışıyor ve yerel ISS’lerin yardımıyla çok verimli olabilir.”
2021’de keşfettiği dokuz sıfır gün açığından yedisinin ticari sağlayıcılar tarafından geliştirildiğini ve devlet destekli aktörlere satıldığını ve kullanıldığını belirten teknoloji devi, ticaret yaptığı bilinen, çeşitli düzeylerde gelişmişliğe sahip 30’dan fazla satıcıyı takip ettiğini söyledi. istismarlar ve gözetim yetenekleri.
Dahası, Google TAG, RCS Lab gibi satıcıların “sıfır gün güvenlik açıklarını gizlice stokladıklarına” dair endişelerini dile getirdi ve son on yılda çok sayıda casus yazılım satıcısının güvenliğinin ihlal edildiğini göz önünde bulundurarak bunun ciddi riskler oluşturduğu konusunda uyardı ve” stoklar uyarı yapılmadan kamuya açıklanabilir.”
TAG, “Bulgularımız, ticari gözetim satıcılarının tarihsel olarak yalnızca istismarları geliştirmek ve operasyonel hale getirmek için teknik uzmanlığa sahip hükümetler tarafından kullanılan yetenekleri ne kadar çoğalttığının altını çiziyor.” Dedi.
“Gözetim teknolojilerinin kullanımı ulusal veya uluslararası yasalara göre yasal olsa da, hükümetler tarafından genellikle demokratik değerlere zıt amaçlarla kullanıldığı görülür: muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef almak.”
