29.4 C
New York

Google varnar spionprogram som distribueras mot Android-, iOS-användare

Datum:

Företaget varnar offer i Italien och Kazakstan att de har blivit utsatta för skadlig programvara från det italienska företaget RCS Labs.

Google varnar offer i Kazakstan och Italien att de är måltavla av Hermit, ett sofistikerat och modulärt spionprogram från den italienska leverantören RCS Labs som inte bara kan stjäla data utan också spela in och ringa samtal.

Forskare från Google Threat Analysis Group (TAG) avslöjade detaljer i ett blogginlägg Torsdag av TAG-forskarna Benoit Sevens och Clement Lecigne om kampanjer som skickar en unik länk till mål till falska appar som utger sig för att vara legitima för att försöka få dem att ladda ner och installera spionprogrammet. Ingen av de falska apparna hittades varken i Apples eller Googles respektive mobilappbutiker, sa de.

TAG tillskriver kapaciteten till den ökända leverantören av övervakningsprogram RCS Labs, som tidigare var kopplad till spionprogramaktivitet som anställdes av en agent från Kazakstans regering mot inhemska mål, och identifierades av Utkiksforskning.Infosec Insiders nyhetsbrev

"Vi beskriver de möjligheter som vi tillskriver RCS Labs, en italiensk leverantör som använder en kombination av taktik, inklusive atypiska drive-by-nedladdningar som initiala infektionsvektorer, för att rikta in sig på mobilanvändare på både iOS och Android", skrev en talesperson för Google TAG i ett pressmeddelande. e-postmeddelande till Threatpost skickat torsdag eftermiddag.

Alla kampanjer som TAG observerade har sitt ursprung med en unik länk skickad till målet som sedan försöker locka användare att ladda ner Hermit spionprogram på ett av två sätt, skrev forskare i inlägget. När de har klickat omdirigeras offren till en webbsida för nedladdning och installation av en övervakningsapp på antingen Android eller iOS.

"Sidan, på italienska, ber användaren att installera en av dessa applikationer för att återställa sitt konto", med WhatsApp-nedladdningslänkar som specifikt pekar på angriparkontrollerat innehåll för Android- eller iOS-användare, skrev forskare.

Samarbetar med internetleverantörer

Ett lockbete som används av hotaktörer är att arbeta med målets internetleverantör för att inaktivera hans eller hennes mobildataanslutning, och sedan maskera sig som en operatörsapplikation som skickas in en länk för att försöka få målet att installera en skadlig app för att återställa anslutningen, sa de .

Forskare beskrivs i ett separat blogginlägg av Ian Beer från Skrevs Project Zero ett fall där de upptäckte vad som såg ut att vara en iOS-app från Vodafone men som i själva verket är en falsk app. Angripare skickar en länk till denna skadliga app via SMS för att försöka lura mål att ladda ner Eremit-spyware.

"SMS hävdar att för att återställa mobildataanslutning måste målet installera operatörsappen och inkluderar en länk för att ladda ner och installera den här falska appen", skrev Beer.

Detta är sannolikt anledningen till att de flesta applikationer som de observerade i Eremit-kampanjen maskerade sig som mobiloperatörsapplikationer, skrev Google TAG-forskare.

I andra fall när de inte kan arbeta direkt med internetleverantörer använder hotaktörer appar som verkar vara meddelandeapplikationer för att dölja Hermit, enligt Google TAG, vilket bekräftar vad Lookout tidigare upptäckt i sin forskning.

iOS-kampanj avslöjad

Medan Lookout tidigare delade detaljer om hur Hermit-inriktning på Android-enheter fungerar, avslöjade Google TAG detaljer om hur spionprogram fungerar på iPhones.

De släppte också detaljer om mängden sårbarheter – varav två var nolldagsbuggar när de först identifierades av Google Project Zero – som angripare utnyttjar i sin kampanj. Faktum är att Beers inlägg är en teknisk analys av en av buggen: CVE-2021-30983 internt kallad Clicked3 och fixerad av Apple i December 2021.

För att distribuera iOS-applikationen följde angriparna helt enkelt Apples instruktioner om hur man distribuerar proprietära interna appar till Apple-enheter och använde itms-services-protokollet med en manifestfil med com.ios.Carrier som identifierare, beskrev forskare.

Den resulterande appen är signerad med ett certifikat från ett företag som heter 3-1 Mobile SRL som var registrerat i Apple Developer Enterprise Program, vilket legitimerar certifikatet på iOS-enheter, sa de.

Själva iOS-appen är uppdelad i flera delar, sa forskare, inklusive ett generiskt exploateringspaket för eskalering av rättigheter som används av sex olika exploateringar för tidigare identifierade buggar. Förutom Clieked3 är de andra buggar som utnyttjas:

Alla exploits som används före 2021 är baserade på offentliga exploits skrivna av olika jailbreaking-gemenskaper, tillade forskare.

Bredare konsekvenser

Framväxten av Hermit-spionprogram visar hur hotaktörer – som ofta arbetar som statligt sponsrade enheter – vänder sig till att använda ny övervakningsteknik och taktik efter sprängningen av repressiva regimers användning av Israel-baserade NSO Groups Pegasus spionprogram i cyberattacker mot oliktänkande, aktivister och icke-statliga organisationer, såväl som mördar of journalister.

Även om användning av spionprogram som Hermit kan vara lagligt enligt nationella eller internationella lagar, "visas de ofta användas av regeringar för syften som strider mot demokratiska värderingar: riktar sig mot dissidenter, journalister, människorättsarbetare och oppositionspartipolitiker", Google TAG skrev forskare.

Förenta staterna svartlistad NSO Group över aktiviteten, som väckte internationell uppmärksamhet och ilska. Men det har uppenbarligen inte stoppat spridningen av spionprogram för otrevliga syften det minsta, enligt Google TAG.

Faktum är att den kommersiella spionprogramindustrin fortsätter att frodas och växa i en avsevärd takt, vilket "bör vara angeläget för alla Internetanvändare", skrev forskare.

"Dessa leverantörer möjliggör spridningen av farliga hackverktyg och beväpnar regeringar som inte skulle kunna utveckla dessa funktioner internt", sa de.

  • Myntsmart. Europas bästa bitcoin- och kryptobörs.Klicka här
  • Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
  • källa: https://threatpost.com/google-hermit-spyware-android-ios/180062/

Relaterade artiklar

plats_img

Senaste artiklar

plats_img