27.7 C
Нью-Йорк

Google предупреждает, что против пользователей Android и iOS развернуто шпионское ПО

Дата:

Компания предупреждает жертв в Италии и Казахстане, что они стали жертвами вредоносного ПО итальянской фирмы RCS Labs.

Google предупреждает жертв в Казахстане и Италии, что они являются мишенью Hermit, сложного и модульного шпионского ПО от итальянского поставщика RCS Labs, которое может не только красть данные, но также записывать и совершать звонки.

Исследователи из Google Threat Analysis Group (TAG) раскрыли подробности в блоге В четверг исследователи TAG Бенуа Севенс и Клемент Лесинь рассказали о кампаниях, которые рассылают уникальные ссылки на поддельные приложения, выдающие себя за настоящие, чтобы попытаться заставить их загрузить и установить шпионское ПО. Однако, по их словам, ни одно из поддельных приложений не было обнаружено ни в соответствующих магазинах мобильных приложений Apple, ни в Google.

TAG приписывает эти возможности печально известному поставщику программного обеспечения для наблюдения RCS Labs, который ранее был связан со шпионской деятельностью, используемой агентом правительства Казахстана против внутренних целей, и идентифицированной Смотровое исследование.Информационный бюллетень для инсайдеров Infosec

«Мы подробно описываем возможности, которые мы приписываем RCS Labs, итальянскому поставщику, который использует комбинацию тактик, включая нетипичные загрузки в качестве начальных векторов заражения, для мобильных пользователей как на iOS, так и на Android», — написал представитель Google TAG в сообщении. электронное письмо Threatpost, отправленное в четверг днем.

Исследователи написали в своем посте, что все кампании, за которыми наблюдала TAG, начинались с уникальной ссылки, отправляемой цели, которая затем пытается соблазнить пользователей на загрузку шпионского ПО Hermit одним из двух способов. После нажатия жертвы перенаправляются на веб-страницу для загрузки и установки приложения для наблюдения на Android или iOS.

«Страница на итальянском языке предлагает пользователю установить одно из этих приложений, чтобы восстановить свою учетную запись», а ссылки для скачивания WhatsApp прямо указывают на контролируемый злоумышленниками контент для пользователей Android или iOS, пишут исследователи.

Сотрудничество с интернет-провайдерами

По их словам, одна из приманок, используемых злоумышленниками, заключается в том, чтобы работать с интернет-провайдером цели, чтобы отключить его или ее мобильное подключение к данным, а затем маскироваться под приложение-носитель, отправленное по ссылке, чтобы попытаться заставить цель установить вредоносное приложение для восстановления подключения. .

Исследователи изложили в отдельном сообщении в блоге Яна Бира из Google Ноль проекта дело, в котором они обнаружили то, что казалось приложением для iOS от Vodafone, но на самом деле является поддельным приложением. Злоумышленники отправляют ссылку на это вредоносное приложение по SMS, чтобы обмануть цель и заставить ее загрузить шпионское ПО Hermit.

«В SMS-сообщении утверждается, что для восстановления подключения к мобильным данным цель должна установить приложение оператора связи и содержит ссылку для загрузки и установки этого поддельного приложения», — написал Бир.

Действительно, это, вероятно, причина того, что большинство приложений, которые они наблюдали в кампании Hermit, маскировались под приложения мобильных операторов, пишут исследователи Google TAG.

В других случаях, когда они не могут работать напрямую с интернет-провайдерами, злоумышленники используют приложения, которые выглядят как приложения для обмена сообщениями, чтобы скрыть Hermit, согласно Google TAG, что подтверждает то, что Lookout ранее обнаружил в своем исследовании.

Раскрыта кампания iOS

В то время как Lookout ранее поделился подробностями о том, как работает Hermit, нацеленный на устройства Android, Google TAG раскрыл особенности работы шпионского ПО на iPhone.

Они также опубликовали подробную информацию о множестве уязвимостей — две из которых были ошибками нулевого дня, когда они были первоначально идентифицированы Google Project Zero, — которые злоумышленники используют в своей кампании. По сути, пост Бира — это технический анализ одного из багов: CVE-2021-30983 внутренне называется Clicked3 и фиксированной от Apple В декабре 2021.

Чтобы распространять приложение iOS, злоумышленники просто следовали инструкциям Apple о том, как распространять проприетарные внутренние приложения на устройства Apple, и использовали протокол itms-services с файлом манифеста с com.ios.Carrier в качестве идентификатора, отмечают исследователи.

Полученное приложение подписано сертификатом компании 3-1 Mobile SRL, которая была зарегистрирована в программе Apple Developer Enterprise Program, таким образом узаконивая сертификат на устройствах iOS, сказали они.

По словам исследователей, само приложение для iOS разбито на несколько частей, в том числе общую оболочку эксплойта для повышения привилегий, которая используется шестью различными эксплойтами для ранее выявленных ошибок. Помимо Clieked3, используются и другие ошибки:

  • CVE-2018-4344 внутренне именуемая и публично известная как LightSpeed;
  • CVE-2019-8605 внутренне именуемый SockPort2 и общеизвестный как SockPuppet;
  • CVE-2020-3837 внутренне именуемая и публично известная как TimeWaste;
  • CVE-2020-9907 внутренне именуется AveCesare; а также
  • CVE-2021-30883 внутренне называется Clicked2, с пометкой как эксплуатируемая Apple в дикой природе в октябре 2021 года.

Исследователи добавили, что все эксплойты, использовавшиеся до 2021 года, основаны на общедоступных эксплойтах, написанных различными сообществами джейлбрейкеров.

Более широкие последствия

Появление шпионского ПО Hermit показывает, как субъекты угроз, часто работающие в качестве спонсируемых государством организаций, переходят к использованию новых технологий и тактики наблюдения после скандала, связанного с использованием репрессивными режимами израильской NSO Group. Пегас шпион в кибератаках против диссидентов, активистов и НПО, а также убийства of журналисты.

Действительно, хотя использование шпионских программ, таких как Hermit, может быть законным в соответствии с национальными или международными законами, «часто обнаруживается, что они используются правительствами в целях, противоречащих демократическим ценностям: против диссидентов, журналистов, правозащитников и политиков оппозиционных партий», Google TAG писали исследователи.

Соединенные Штаты черный список NSO Group за действия, вызвавшие международное внимание и гнев. Но, по данным Google TAG, это, по-видимому, ни в малейшей степени не остановило распространение шпионских программ в гнусных целях.

На самом деле индустрия коммерческого шпионского ПО продолжает процветать и расти значительными темпами, что «должно беспокоить всех пользователей Интернета», пишут исследователи.

«Эти поставщики способствуют распространению опасных хакерских инструментов и вооружают правительства, которые не смогут развивать эти возможности собственными силами», — заявили они.

  • Коинсмарт. Лучшая в Европе биржа биткойнов и криптовалют.Кликните сюда
  • Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
  • источник: https://threatpost.com/google-hermit-spyware-android-ios/180062/

Статьи по теме

spot_img

Последние статьи

spot_img