گوگل جزئیات جاسوس‌افزار Hermit که دستگاه‌های اندروید و iOS را هدف قرار می‌دهد، منتشر کرد

گوگل به‌تازگی هشدارهایی درمورد نوعی جاسوس‌افزار در سطح سازمانی که کاربران دستگاه‌های اندرویدی و iOS را موردحمله قرار می‌دهد، ارائه کرده است. به‌گفته‌ی محققان گروه تجزیه‌وتحلیل تهدید گوگل موسوم به TAG، بنویت سون و کلمنت لجین و همچنین اعضای پروژ‌ه‌ی صفر (Project Zero) نوعی نرم‌افزار جاسوسی اندروید و iOS در درجه‌ی دولتی و سازمانی، درحال‌حاضر فعال است. تا این‌لحظه قربانیان این نرم‌افزار جاسوسی در ایتالیا و قزاقستان شناسایی شده‌اند.

به گزارش ZDNet، نرم‌افزار جاسوسی جدید، Hermit نام دارد که درواقع می‌توان آن را ابزاری نظارتی و ماژولار توصیف کرد. محققان امنیت سایبری Lookout پس از تجزیه‌وتحلیل ۱۶ ماژول از ۲۵ ماژول این جاسوس‌افزار اعلام کردند که این بدافزار سعی می‌کند دستگاه‌های هدف را روت کند و از قابلیت‌هایی مثل ضبط‌ صدا، هدایت یا برقراری تماس‌های تلفنی، سرقت مجموعه‌ی اطلاعات ازجمله پیام‌های کوتاه، گزارش‌های تماس، فهرست تماس‌ها، عکس‌ها و استخراج داده‌های مربوط به موقعیت مکانی بهره می‌برد.

تجزیه‌وتحلیل Lookout که در تاریخ ۱۶ ژوئن منتشر شد نشان می‌دهد این نرم‌افزار جاسوسی ازطریق پیامک‌های مخرب ارسال می‌شود. نتیجه‌گیری‌ TAG نیز با این داده‌ها مطابقت دارد. این بدافزار با پیوندهای منحصر‌به‌فرد ارسال‌شده به هدف، به‌عنوان پیام‌های ارسال‌شده ازطریق یک ارائه‌دهنده‌ی خدمات اینترنتی (ISP) یا یک اپلیکیشن پیام‌رسانی، خود را مخفی می‌کند.

گوگل درمورد Hermit می‌گوید:

ما معتقدیم در برخی موارد، مهاجمان با ISPها برای غیرفعال کردن اتصال داده‌ی تلفن همراه هدف، همکاری کرده‌اند. پس از غیرفعال شدن این ویژگی، مهاجم یک پیوند مخرب ازطریق پیامک ارسال می‌کند و از هدف می‌خواهد اپلیکیشن را برای بازیابی اتصال داده‌های خود نصب کند.

تیم Lookout فقط توانسته است نسخه‌ی اندروید Hermit را شناسایی کند اما درحال‌حاضر گوگل یک نمونه‌ی iOS را هم به‌ تحقیقات اضافه کرده است. هیچ‌کدام از نمونه‌ها در مخازن رسمی اپلیکیشن‌های گوگل یا اپل یافت نشد و درعوض، برنامه‌های مملؤ از نرم‌افزارهای جاسوسی از میزبان‌های غیررسمی دانلود شده‌اند.

نمونه‌ی اندرویدی این بدافزار از قربانی درخواست می‌کند اجازه‌ی نصب اپلیکیشن از منابع ناشناس را فعال کند. این بدافزار خود را به‌عنوان یک اپلیکیشن سامسونگ پنهان می‌کند و از Firebase به‌عنوان بخشی از زیرساخت فرمان و کنترل خود بهره می‌برد.

محققان می‌گویند:

درحالی‌که خود APK فاقد هرگونه آسیب‌پذیری است، اما کد آن به وجود آسیب‌پذیری‌هایی اشاره دارد که می‌توان آن‌ها را دانلود و اجرا کرد.

گوگل به کاربران اندرویدی که تحت تأثیر این جاسوس‌افزار قرار دارند اطلاع داده است و تغییراتی را در قابلیت Play Protect اعمال کرده تا از آن‌ها دربرابر فعالیت‌های مخرب Hermit محافظت کند. علاوه‌براین، پروژه‌های Firebase مرتبط با این نرم‌افزار جاسوسی، غیرفعال شده‌اند.

نمونه‌ی iOS این جاسوس‌افزار با گواهی به‌دست‌آمده از برنامه‌ی Apple Developer Enterprise امضا شده و حاوی قابلیتی برای سوءاستفاده از افزایش امتیاز است که می‌تواند ازطریق ۶ آسیب‌پذیری ایجاد شود.

درحالی‌که چهار آسیب‌پذیری با نام‌های CVE-2018-4344، CVE-2019-8605، CVE-2020-3837، CVE-2020-9907 شناخته شده بودند، دو مورد دیگر نیز با شناسه‌های CVE-2021-30883 و CVE-2021-30983 به‌عنوان نمونه‌های مشکوک شناسایی شده‌اند. اپل نیز گواهی‌های مرتبط با کمپین Hermit را باطل کرده است.

گوگل و Lookout می‌گویند این نرم‌افزار جاسوسی احتمالاً با RCS Lab مرتبط است؛ شرکتی ایتالیایی که از سال ۱۹۹۳ تاکنون درحال فعالیت است. آزمایشگاه RCS در گفت‌وگو با وب‌سایت TechCrunch گفت که این شرکت محصولات خود را مطابق با قوانین و مقررات ملی و اروپایی صادر می‌کند و هرگونه فروش یا اجرای محصوللات فقط پس از دریافت مجوز رسمی از مقامات ذی‌صلاح انجام می‌شود.

انتشار Hermit صنعت پررونق جاسوس‌افزار و نظارت دیجیتال را برجسته‌تر می‌کند

گوگل هفته‌ی گذشته در جلسه‌ی استماع کمیته‌ی تحقیق پارلمانی اتحادیه‌ی اروپا درمورد استفاده از پگاسوس (Pegasus) و سایر نرم‌افزارهای جاسوسی درجه‌ی تجاری، شهادت داد. TAG درحال‌حاضر بیش از ۳۰ فروشنده را ردیابی می‌کند که امکان سوءاستفاده با نرم‌افزارهای جاسوسی را با به نهادهای تحت حمایت دولت‌ها ارائه می‌دهند و به گفته‌ی چارلی اسنایدر، رئیس سیاست امنیت سایبری گوگل، درحالی‌که استفاده از این نرم‌افزارهای جاسوسی ممکن است قانونی باشد، اما اغلب مشخص می‌شود دولت‌ها از آن‌ها برای مقاصد دیگری استفاده می‌کنند که مخالف ارزش‌های دموکراتیک است و بیشتر مخالفان، روزنامه‌نگاران، فعالان حقوق‌ بشر و سیاست‌مداران را تحت تأثیر قرار می‌دهد. اسنایدر گفت:

به‌ همین دلیل است که وقتی گوگل این نوع فعالیت‌ها را کشف می‌کند، ما نه‌تنها اقداماتی برای محافظت از کاربران انجام می‌دهیم، بلکه آن اطلاعات را به‌صورت عمومی برای افزایش آگاهی و کمک به اکوسیستم‌ها، فاش می‌کنیم.