حصلت برامج التجسس المتطورة على مساعدة مزودي خدمة الإنترنت (ISPs) لخداع المستخدمين لتنزيل تطبيقات ضارة، وفقًا لتقرير نشرته مجموعة تحليل التهديدات (TAG) من قوقل.
وتؤيد هذه النتائج السابقة التي توصلت إليها مجموعة الأبحاث الأمنية Lookout، التي ربطت برنامج التجسس، المسمى Hermit، ببائع برامج التجسس الإيطالية RCS Labs.
تقول Lookout أن RCS Labs تعمل في نفس مجال العمل مع NSO Group – شركة المراقبة للتأجير سيئة السمعة التي تقف وراء برنامج التجسس Pegasus – وتبيع برامج التجسس التجارية إلى وكالات حكومية مختلفة.
يعتقد الباحثون في Lookout أن Hermit قد تم نشره بالفعل من قبل حكومة كازاخستان والسلطات الإيطالية. تماشياً مع هذه النتائج، حددت قوقل الضحايا في كلا البلدين وقالت إنها ستبلغ المستخدمين المتأثرين.
كما هو موضح في تقرير Lookout، فإن Hermit يمثل تهديدًا نمطيًا يمكنه تنزيل مكونات إضافية من خادم (C2). يسمح ذلك لبرامج التجسس بالوصول إلى سجلات المكالمات والموقع والصور والرسائل النصية على جهاز الضحية.
إن Hermit قادر أيضًا على تسجيل الصوت وإجراء المكالمات الهاتفية واعتراضها، بالإضافة إلى الوصول إلى المكون الاساسي لجهاز الاندرويد، مما يمنحه التحكم الكامل في نظام التشغيل الأساسي الخاص به.
يمكن لبرامج التجسس أن تصيب كلاً من الاجهزة التي تعمل بنظامي الأندرويد و وأجهزة الايفون عن طريق التنكر كمصدر شرعي، وعادة ما يتخذ شكل شركة اتصالات أو تطبيق مراسلة.
وجد باحثو الأمن السيبراني في قوقل أن بعض المهاجمين عملوا بالفعل مع مزودي خدمة الإنترنت لإيقاف تشغيل بيانات الجوال الخاصة بالضحية لتعزيز مخططهم.
بعد ذلك، قد يتظاهر المهاجمين بأنهم مشغلو جوال الضحية عبر الرسائل القصيرة ويخدعون المستخدمين للاعتقاد بأن تنزيل تطبيق ضار سيعيد اتصالهم بالإنترنت.
يقول باحثون من Lookout و TAG إن التطبيقات التي تحتوي على Hermit لم يتم توفيرها مطلقًا عبر متجر Google Play أو متجر App Store.
ومع ذلك، تمكن المهاجمين من توزيع التطبيقات المصابة على iOS من خلال التسجيل في برنامج Apple Developer Enterprise.
سمح هذا للمهاجمين بتجاوز عملية الفحص القياسية في متجر التطبيقات والحصول على شهادة “تفي بجميع متطلبات iOS على أي أجهزة iOS”.
التدوينة تدعي قوقل بتعاون المهاجمين مع مزودي خدمة الإنترنت لنشر برامج التجسس Hermit على الاندرويد و iOS ظهرت أولاً على عالم التقنية.
