危急！谷歌标签从ISP那里寻求帮助以传播隐士间谍软件

雅加达 - 高级间谍软件活动正在从互联网服务提供商（ISP）获得帮助，以诱骗用户下载恶意应用程序。根据谷歌技术分析小组（TAG）发表的研究，这一点被揭示出来。

它还证实了安全研究组织Lookout之前的调查结果，该组织将间谍软件（称为Hermit）与意大利间谍软件供应商RCS Labs联系起来。

Lookout表示，RCS Labs与NSO Group处于同一轨道上，NSO Group是一家知名的监控租赁公司，是pegasus间谍软件的幕后黑手。NSO集团一直在向各种政府机构兜售其商业间谍软件。

Lookout的研究人员认为，Hermit已被哈萨克斯坦政府和意大利当局部署。根据这些调查结果，谷歌已经确定了这两个国家的受害者，并表示将通知受间谍软件影响的用户。

Lookout 报告中描述的 Hermit 是一种模块化威胁，可以从命令和控制 （C2） 服务器下载其他功能。这允许间谍软件访问受害者设备上的通话记录，位置，照片和短信。

Hermit还可以录制音频，拨打和拦截电话，以及将其植根到Android设备，这使其可以完全控制其核心操作系统。

此间谍软件可以通过伪装成合法来源（通常以移动运营商或消息传递应用程序的形式）来感染Android和iPhone。

谷歌网络安全研究人员还发现，一些攻击者实际上与ISP合作，关闭受害者的移动数据以继续他们的计划。然后，恶意犯罪者将通过短信冒充受害者的移动运营商，并诱使用户相信恶意应用程序下载将恢复其互联网连接。

如果攻击者无法与ISP合作，谷歌表示，他们伪装成一个看似真实的消息传递应用程序，诱骗用户下载。

Lookout和TAG的研究人员还表示，包含Hermit的应用程序从未通过Google Play或Apple App Store获得。但是，攻击者可以通过注册Apple的企业开发人员计划在iOS上分发受感染的应用程序。

它允许恶意行为者绕过App Store的标准检查过程，并获得“满足任何iOS设备上的所有iOS代码签名要求”的证书。

苹果告诉The Verge，它已经撤销了与威胁相关的帐户或证书。除了通知受影响的用户外，Google还向所有用户推送了Google Play Protect更新。