Google, saldırganların Hermit casus yazılımını Android ve iOS
‘e dağıtmak için ıss’lerle çalıştığını söyledi
Google’ın Tehdit Analizi Grubu (TAG) (TechCrunch aracılığıyla) tarafından yayınlanan araştırmaya göre, gelişmiş bir casus yazılım kampanyası, kullanıcıları kötü amaçlı uygulamalar indirmeleri için kandırmak için internet servis sağlayıcılarından (ISS’ler) yardım alıyor. Bu, Hermit olarak adlandırılan casus yazılımları İtalyan casus yazılım satıcısı RCS Labs’a bağlayan güvenlik araştırma grubu Lookout’un önceki bulgularını doğrulamaktadır.
Lookout, RCS Labs’ın Pegasus casus yazılımının arkasındaki rezil gözetleme şirketi NSO Group ile aynı iş kolunda olduğunu ve çeşitli devlet kurumlarına ticari casus yazılımlar sattığını söylüyor. Lookout’taki araştırmacılar, Hermit’in Kazakistan hükümeti ve İtalyan makamları tarafından konuşlandırıldığına inanıyor. Bu bulgular doğrultusunda Google, her iki ülkedeki mağdurları tespit etti ve etkilenen kullanıcıları bilgilendireceğini söyledi.
Lookout’un raporunda açıklandığı gibi Hermit, bir komut ve kontrol (C2) sunucusundan ek yetenekler indirebilen modüler bir tehdittir. Bu, casus yazılımların kurbanın cihazındaki arama kayıtlarına, konumlarına, fotoğraflarına ve metin mesajlarına erişmesini sağlar. Hermit ayrıca ses kaydedebilir, telefon görüşmeleri yapabilir ve engelleyebilir, ayrıca bir Android cihazına kök salabilir ve bu da çekirdek işletim sistemi üzerinde tam kontrol sağlar.
Casus yazılımlar, kendisini meşru bir kaynak olarak gizleyerek, genellikle bir mobil operatör veya mesajlaşma uygulaması biçiminde alarak hem Android hem de iphone’lara bulaşabilir. Google’ın siber güvenlik araştırmacıları, bazı saldırganların, planlarını ilerletmek için bir kurbanın mobil verilerini kapatmak için ıss’lerle birlikte çalıştıklarını keşfetti. Kötü aktörler daha sonra SMS üzerinden mağdurun mobil operatörü olarak poz verecek ve kullanıcıları kötü amaçlı bir uygulama indirmenin internet bağlantılarını geri yükleyeceğine inanmaları için kandıracaktır. Saldırganlar bir ISS ile çalışamazlarsa, Google, kullanıcıları indirmeleri için kandırdıkları görünüşte otantik mesajlaşma uygulamaları gibi davrandıklarını söylüyor.
Lookout ve Tag’dan araştırmacılar, Hermit içeren uygulamaların Google Play veya Apple App Store üzerinden hiçbir zaman kullanıma sunulmadığını söylüyor. Ancak saldırganlar, Apple’ın Geliştirici Kurumsal Programına kaydolarak virüslü uygulamaları iOS’ta dağıtabildiler. Bu, kötü aktörlerin App Store’un standart doğrulama işlemini atlamasına ve “herhangi bir iOS cihazındaki tüm iOS kod imzalama gereksinimlerini karşılayan bir sertifika almasına izin verdi.”
Apple, Verge’ye o zamandan beri tehditle ilişkili herhangi bir hesabı veya sertifikayı iptal ettiğini söyledi. Etkilenen kullanıcıları bilgilendirmenin yanı sıra Google, tüm kullanıcılara bir Google Play Protect güncellemesi de gönderdi.