Google'ın Tehdit Analizi Grubu (TAG) tarafından yayınlanan araştırmaya göre, gelişmiş bir casus yazılım kampanyası, kullanıcıları kötü amaçlı uygulamaları indirmeleri için kandırmak için internet servis sağlayıcılarının (İSS'ler) yardımını alıyor . Bu , Hermit adlı casus yazılımı İtalyan casus yazılım satıcısı RCS Labs ile ilişkilendiren güvenlik araştırma grubu Lookout'un daha önceki bulgularını doğruluyor .
Lookout, RCS Labs'ın Pegasus casus yazılımlarının arkasındaki kötü şöhretli kiralık gözetim şirketi NSO Group ile aynı iş kolunda olduğunu ve çeşitli devlet kurumlarına ticari casus yazılım sattığını söylüyor. Lookout'taki araştırmacılar, Hermit'in Kazakistan hükümeti ve İtalyan makamları tarafından zaten konuşlandırıldığına inanıyor. Bu bulgular doğrultusunda Google, her iki ülkede de mağdurları tespit etti ve etkilenen kullanıcıları bilgilendireceğini söyledi.
Lookout'un raporunda açıklandığı gibi, Hermit, bir komuta ve kontrol (C2) sunucusundan ek yetenekler indirebilen modüler bir tehdittir. Bu, casus yazılımın kurbanın cihazındaki arama kayıtlarına, konuma, fotoğraflara ve metin mesajlarına erişmesini sağlıyor. Hermit ayrıca ses kaydedebiliyor, telefon görüşmeleri yapabiliyor ve araya girebiliyor ve ayrıca bir Android cihazına kök salabiliyor ve bu da temel işletim sistemi üzerinde tam kontrol sağlıyor.
Casus yazılım, kendisini meşru bir kaynak olarak gizleyerek, genellikle bir mobil operatör veya mesajlaşma uygulaması şeklini alarak hem Android'e hem de iPhone'lara bulaşabiliyor. Google'ın siber güvenlik araştırmacıları, bazı saldırganların, planlarını ilerletmek için kurbanın mobil verilerini kapatmak için gerçekten İSS'lerle çalıştığını buldu. Kötü aktörler daha sonra SMS üzerinden bir kurbanın mobil operatörü gibi davranıyor ve kullanıcıları kötü niyetli bir uygulama indirmesinin internet bağlantılarını yeniden kuracağına inandırıyor. Saldırganlar bir ISS ile çalışamadıysa, Google, kullanıcıları indirmeye kandırdıkları, görünüşte gerçek mesajlaşma uygulamaları olarak sunduklarını söylüyor.
Lookout ve TAG araştırmacıları, Hermit içeren uygulamaların hiçbir zaman Google Play veya Apple App Store üzerinden kullanıma sunulmadığını söylüyor. Ancak saldırganlar, Apple'ın Developer Enterprise Programına kaydolarak virüslü uygulamaları iOS'ta dağıtabildiler. Bu, kötü niyetli kişilerin App Store'un standart inceleme sürecini atlamasına ve "herhangi bir iOS cihazındaki tüm iOS kod imzalama gereksinimlerini karşılayan" bir sertifika almasına izin verdi.
Apple, o zamandan beri tehditle ilişkili tüm hesapları veya sertifikaları iptal ettiğini söyledi. Google, etkilenen kullanıcıları bilgilendirmenin yanı sıra tüm kullanıcılara bir Google Play Protect güncellemesi gönderdi.
0 Yorumlar