Google, İSS’lerin Saldırganların Hedeflenen Akıllı Telefonlara Hermit Casus Yazılımını Bulaştırmasına Yardımcı Olduğunu Söyledi

Hermit adlı gelişmiş bir mobil casus yazılımın Kazakistan hükümeti tarafından sınırları içinde kullanıldığının ortaya çıkmasından bir hafta sonra Google, Android kullanıcılarını virüslü cihazlar konusunda bilgilendirdiğini söyledi.

Ek olarak, gerekli değişiklikler uygulandı. Google Play Koruması – Android’in yerleşik kötü amaçlı yazılım savunma hizmeti – tüm kullanıcıları korumak için Google Tehdit Analizi Grubu’ndan (TAG) Benoit Sevens ve Clement Lecigne söz konusu Perşembe raporunda.

RCS Lab adlı bir İtalyan satıcının eseri olan Hermit, belgelenmiş Geçen hafta Lookout tarafından, modüler özellik setini ve arama kayıtları, kişiler, fotoğraflar, kesin konum ve SMS mesajları gibi hassas bilgileri toplama yeteneklerini dile getirdi.

Tehdit kendini bir cihaza iyice sızdırdıktan sonra, kurbanlar tarafından kullanılan çeşitli ön plan uygulamalarını takip etmek için Android’deki erişilebilirlik hizmetlerine yönelik izinlerini kötüye kullanmanın yanı sıra ses kaydı yapmak ve telefon görüşmeleri yapmak ve yönlendirmek için de donatılmıştır.

Modülerliği, casus yazılımın işlevselliğini isteğe göre genişletilebilecek veya değiştirilebilecek şekilde donatarak tamamen özelleştirilebilir olmasını da sağlar. Kampanyada kimin hedeflendiği veya RCS Lab istemcilerinden hangilerinin dahil olduğu hemen belli değil.

1993 yılından beri faaliyet gösteren Milano merkezli şirket, iddialar “Yirmi yılı aşkın bir süredir yasal müdahale alanında en son teknolojik çözümler ve teknik destek ile dünya çapındaki kolluk kuvvetleri” sağlamak. Yalnızca Avrupa’da her gün 10.000’den fazla ele geçirilen hedefin ele alındığı iddia ediliyor.

Zimperium için tehdit raporlama direktörü Richard Melick, “Hermit, sivilleri ve mobil cihazlarını hedef almak için kullanılan bir dijital silahın başka bir örneğidir ve ilgili kötü niyetli taraflarca toplanan veriler kesinlikle çok değerli olacaktır.” Dedi.

Hedefler, telefonlarına, ilk enfeksiyon vektörleri olarak önden yüklemeler yoluyla casus aracı bulaştırıyor ve bu da, tıklama üzerine saldırı zincirini etkinleştiren bir SMS mesajında ​​benzersiz bir bağlantı göndermeyi gerektiriyor.

Aktörlerin, mobil veri bağlantılarını devre dışı bırakmak için hedeflerin internet servis sağlayıcıları (ISS’ler) ile işbirliği içinde çalıştıklarından ve ardından alıcıları mobil veri erişimini geri yüklemek için bir uygulama yüklemeye teşvik eden bir SMS gönderdiklerinden şüpheleniliyor.

Araştırmacılar, “Uygulamaların çoğunun mobil operatör uygulamaları gibi görünmesinin nedeninin bu olduğuna inanıyoruz” dedi. “ISS katılımı mümkün olmadığında, uygulamalar mesajlaşma uygulamaları olarak maskelenir.”

İOS kullanıcılarını tehlikeye atmak için, rakibin, sahte taşıyıcı markalı uygulamaların, App Store’da bulunmalarına gerek kalmadan cihazlara yan taraftan yüklenmesine izin veren profiller sağlamaya güvendiği söyleniyor.

Google

Uygulamanın iOS sürümünün analizi, altı adede kadar açıktan yararlandığını gösteriyor – CVE-2018-4344,, CVE-2019-8605,, CVE-2020-3837,, CVE-2020-9907,, CVE-2021-30883ve CVE-2021-30983 – WhatsApp veritabanları gibi ilgilenilen dosyaları cihazdan sızdırmak için.

Google Project Zero’dan Ian Beer, “Eğri yavaş yavaş bellek bozulması sömürüsünün daha pahalı hale gelmesine doğru kayarken, saldırganlar da muhtemelen değişiyor” söz konusu My Vodafone operatör uygulamasının kimliğine bürünen bir iOS yapıtının derinlemesine analizinde.

Siber güvenlik

Android’de, arabayla gelen saldırılar, kurbanların bilinmeyen kaynaklardan üçüncü taraf uygulamaları yüklemek için bir ayarı etkinleştirmesini gerektiriyor; bu, sahte uygulamanın, Samsung gibi akıllı telefon markaları gibi davranarak kötü niyetli hedeflerine ulaşmak için kapsamlı izinler talep etmesine neden oluyor.

Android varyantı, yerleşik erişim için cihazı köklendirmeye çalışmanın yanı sıra, APK dosyasındaki açıkları bir araya getirmek yerine, ana uygulama ile iletişim kurabilen rastgele uzak bileşenleri getirmesine ve yürütmesine izin veren işlevsellik içermesi bakımından farklı bir şekilde kablolanmıştır.

Araştırmacılar, “Bu kampanya, saldırganların ihtiyaç duydukları izinleri elde etmek için her zaman açıklardan yararlanmadıklarını iyi bir hatırlatmadır” dedi. “Temel bulaşma vektörleri ve indirmeler yoluyla çalıştırma hala çalışıyor ve yerel ISS’lerin yardımıyla çok verimli olabilir.”

2021’de keşfettiği dokuz sıfır gün açığından yedisinin, ticari sağlayıcılar tarafından satılan ve kullanılan devlet destekli aktörlerteknoloji devi, açıklardan yararlanma ve gözetleme yetenekleriyle ticaret yaptığı bilinen, çeşitli gelişmişlik seviyelerine sahip 30’dan fazla satıcıyı takip ettiğini söyledi.

Dahası, Google TAG, RCS Lab gibi satıcıların “sıfır gün güvenlik açıklarını gizlice stokladıklarına” dair endişelerini dile getirdi ve son on yılda çok sayıda casus yazılım satıcısının güvenliğinin ihlal edildiğini göz önünde bulundurarak bunun ciddi riskler oluşturduğu konusunda uyardı ve” stoklar herhangi bir uyarı yapılmadan kamuya açıklanabilir.”

TAG, “Bulgularımız, ticari gözetim satıcılarının tarihsel olarak yalnızca istismarları geliştirmek ve operasyonel hale getirmek için teknik uzmanlığa sahip hükümetler tarafından kullanılan yetenekleri ne kadar çoğalttığının altını çiziyor.” Dedi.

“Gözetim teknolojilerinin kullanımı ulusal veya uluslararası yasalara göre yasal olsa da, hükümetler tarafından genellikle muhalifleri, gazetecileri, insan hakları çalışanlarını ve muhalefet partisi politikacılarını hedef alan demokratik değerlere zıt amaçlarla kullanıldığı tespit edilmiştir.”

Güncelleme: Yorum için ulaşıldığında, RCS Lab, “asıl işinin yasal müdahale, adli istihbarat ve veri analizine ayrılmış yazılım platformlarının tasarımı, üretimi ve uygulanması olduğunu” ve kolluk kuvvetlerinin terör eylemleri gibi ciddi suçları önlemesine ve soruşturmasına yardımcı olduğunu söyledi. , uyuşturucu kaçakçılığı, organize suç, çocuk istismarı ve yolsuzluk.

İlişkilendirilmemiş ifadenin geri kalanı burada –

RCS Lab, ürünlerini hem ulusal hem de Avrupa kural ve yönetmeliklerine uygun olarak ihraç etmektedir. Ürünlerin her türlü satışı veya uygulaması ancak yetkili makamlardan resmi izin alındıktan sonra gerçekleştirilir. Ürünlerimiz, onaylanmış müşterilerin tesislerine teslim edilir ve kurulur. RCS Lab personeli, ilgili müşteriler tarafından yürütülen faaliyetlere maruz kalmaz veya katılmaz. RCS Lab, suç önleme ve suçla mücadelede hukuk sistemini desteklemek amacıyla tasarlanan ve üretilen ürünlerinin her türlü kötüye kullanımını veya uygunsuz kullanımını şiddetle kınıyor.

.