گوگل جزئیات جاسوسافزار Hermit که دستگاههای اندروید و iOS را هدف قرار میدهد، منتشر کرد
گوگل بهتازگی هشدارهایی درمورد نوعی جاسوسافزار در سطح سازمانی که کاربران دستگاههای اندرویدی و iOS را موردحمله قرار میدهد، ارائه کرده است. بهگفتهی محققان گروه تجزیهوتحلیل تهدید گوگل موسوم به TAG، بنویت سون و کلمنت لجین و همچنین اعضای پروژهی صفر (Project Zero) نوعی نرمافزار جاسوسی اندروید و iOS در درجهی دولتی و سازمانی، درحالحاضر فعال است. تا اینلحظه قربانیان این نرمافزار جاسوسی در ایتالیا و قزاقستان شناسایی شدهاند.
به گزارش ZDNet، نرمافزار جاسوسی جدید، Hermit نام دارد که درواقع میتوان آن را ابزاری نظارتی و ماژولار توصیف کرد. محققان امنیت سایبری Lookout پس از تجزیهوتحلیل ۱۶ ماژول از ۲۵ ماژول این جاسوسافزار اعلام کردند که این بدافزار سعی میکند دستگاههای هدف را روت کند و از قابلیتهایی مثل ضبط صدا، هدایت یا برقراری تماسهای تلفنی، سرقت مجموعهی اطلاعات ازجمله پیامهای کوتاه، گزارشهای تماس، فهرست تماسها، عکسها و استخراج دادههای مربوط به موقعیت مکانی بهره میبرد.
تجزیهوتحلیل Lookout که در تاریخ ۱۶ ژوئن منتشر شد نشان میدهد این نرمافزار جاسوسی ازطریق پیامکهای مخرب ارسال میشود. نتیجهگیری TAG نیز با این دادهها مطابقت دارد. این بدافزار با پیوندهای منحصربهفرد ارسالشده به هدف، بهعنوان پیامهای ارسالشده ازطریق یک ارائهدهندهی خدمات اینترنتی (ISP) یا یک اپلیکیشن پیامرسانی، خود را مخفی میکند.
گوگل درمورد Hermit میگوید:
ما معتقدیم در برخی موارد، مهاجمان با ISPها برای غیرفعال کردن اتصال دادهی تلفن همراه هدف، همکاری کردهاند. پس از غیرفعال شدن این ویژگی، مهاجم یک پیوند مخرب ازطریق پیامک ارسال میکند و از هدف میخواهد اپلیکیشن را برای بازیابی اتصال دادههای خود نصب کند.
تیم Lookout فقط توانسته است نسخهی اندروید Hermit را شناسایی کند اما درحالحاضر گوگل یک نمونهی iOS را هم به تحقیقات اضافه کرده است. هیچکدام از نمونهها در مخازن رسمی اپلیکیشنهای گوگل یا اپل یافت نشد و درعوض، برنامههای مملؤ از نرمافزارهای جاسوسی از میزبانهای غیررسمی دانلود شدهاند.
نمونهی اندرویدی این بدافزار از قربانی درخواست میکند اجازهی نصب اپلیکیشن از منابع ناشناس را فعال کند. این بدافزار خود را بهعنوان یک اپلیکیشن سامسونگ پنهان میکند و از Firebase بهعنوان بخشی از زیرساخت فرمان و کنترل خود بهره میبرد.
محققان میگویند:
درحالیکه خود APK فاقد هرگونه آسیبپذیری است، اما کد آن به وجود آسیبپذیریهایی اشاره دارد که میتوان آنها را دانلود و اجرا کرد.
- اپل با iOS 16 عبور از صفحه CAPTCHA اپلیکیشنها و وبسایتها را ممکن میکند
- اینترنت اکسپلورر از دنیا رفت؛ اما آسیبپذیریهای آن تا سالها بر وب تأثیر خواهد گذاشت
گوگل به کاربران اندرویدی که تحت تأثیر این جاسوسافزار قرار دارند اطلاع داده است و تغییراتی را در قابلیت Play Protect اعمال کرده تا از آنها دربرابر فعالیتهای مخرب Hermit محافظت کند. علاوهبراین، پروژههای Firebase مرتبط با این نرمافزار جاسوسی، غیرفعال شدهاند.
نمونهی iOS این جاسوسافزار با گواهی بهدستآمده از برنامهی Apple Developer Enterprise امضا شده و حاوی قابلیتی برای سوءاستفاده از افزایش امتیاز است که میتواند ازطریق ۶ آسیبپذیری ایجاد شود.
درحالیکه چهار آسیبپذیری با نامهای CVE-2018-4344، CVE-2019-8605، CVE-2020-3837، CVE-2020-9907 شناخته شده بودند، دو مورد دیگر نیز با شناسههای CVE-2021-30883 و CVE-2021-30983 بهعنوان نمونههای مشکوک شناسایی شدهاند. اپل نیز گواهیهای مرتبط با کمپین Hermit را باطل کرده است.
گوگل و Lookout میگویند این نرمافزار جاسوسی احتمالاً با RCS Lab مرتبط است؛ شرکتی ایتالیایی که از سال ۱۹۹۳ تاکنون درحال فعالیت است. آزمایشگاه RCS در گفتوگو با وبسایت TechCrunch گفت که این شرکت محصولات خود را مطابق با قوانین و مقررات ملی و اروپایی صادر میکند و هرگونه فروش یا اجرای محصوللات فقط پس از دریافت مجوز رسمی از مقامات ذیصلاح انجام میشود.
انتشار Hermit صنعت پررونق جاسوسافزار و نظارت دیجیتال را برجستهتر میکند
گوگل هفتهی گذشته در جلسهی استماع کمیتهی تحقیق پارلمانی اتحادیهی اروپا درمورد استفاده از پگاسوس (Pegasus) و سایر نرمافزارهای جاسوسی درجهی تجاری، شهادت داد. TAG درحالحاضر بیش از ۳۰ فروشنده را ردیابی میکند که امکان سوءاستفاده با نرمافزارهای جاسوسی را با به نهادهای تحت حمایت دولتها ارائه میدهند و به گفتهی چارلی اسنایدر، رئیس سیاست امنیت سایبری گوگل، درحالیکه استفاده از این نرمافزارهای جاسوسی ممکن است قانونی باشد، اما اغلب مشخص میشود دولتها از آنها برای مقاصد دیگری استفاده میکنند که مخالف ارزشهای دموکراتیک است و بیشتر مخالفان، روزنامهنگاران، فعالان حقوق بشر و سیاستمداران را تحت تأثیر قرار میدهد. اسنایدر گفت:
به همین دلیل است که وقتی گوگل این نوع فعالیتها را کشف میکند، ما نهتنها اقداماتی برای محافظت از کاربران انجام میدهیم، بلکه آن اطلاعات را بهصورت عمومی برای افزایش آگاهی و کمک به اکوسیستمها، فاش میکنیم.