雅加达 - 高级间谍软件活动正在从互联网服务提供商(ISP)获得帮助,以诱骗用户下载恶意应用程序。根据谷歌技术分析小组(TAG)发表的研究,这一点被揭示出来。
它还证实了安全研究组织Lookout之前的调查结果,该组织将间谍软件(称为Hermit)与意大利间谍软件供应商RCS Labs联系起来。
Lookout表示,RCS Labs与NSO Group处于同一轨道上,NSO Group是一家知名的监控租赁公司,是pegasus间谍软件的幕后黑手。NSO集团一直在向各种政府机构兜售其商业间谍软件。
Lookout的研究人员认为,Hermit已被哈萨克斯坦政府和意大利当局部署。根据这些调查结果,谷歌已经确定了这两个国家的受害者,并表示将通知受间谍软件影响的用户。
Lookout 报告中描述的 Hermit 是一种模块化威胁,可以从命令和控制 (C2) 服务器下载其他功能。这允许间谍软件访问受害者设备上的通话记录,位置,照片和短信。
Hermit还可以录制音频,拨打和拦截电话,以及将其植根到Android设备,这使其可以完全控制其核心操作系统。
此间谍软件可以通过伪装成合法来源(通常以移动运营商或消息传递应用程序的形式)来感染Android和iPhone。
谷歌网络安全研究人员还发现,一些攻击者实际上与ISP合作,关闭受害者的移动数据以继续他们的计划。然后,恶意犯罪者将通过短信冒充受害者的移动运营商,并诱使用户相信恶意应用程序下载将恢复其互联网连接。
如果攻击者无法与ISP合作,谷歌表示,他们伪装成一个看似真实的消息传递应用程序,诱骗用户下载。
Lookout和TAG的研究人员还表示,包含Hermit的应用程序从未通过Google Play或Apple App Store获得。但是,攻击者可以通过注册Apple的企业开发人员计划在iOS上分发受感染的应用程序。
它允许恶意行为者绕过App Store的标准检查过程,并获得“满足任何iOS设备上的所有iOS代码签名要求”的证书。
苹果告诉The Verge,它已经撤销了与威胁相关的帐户或证书。除了通知受影响的用户外,Google还向所有用户推送了Google Play Protect更新。
The English, Chinese, Japanese, Arabic, and French versions are automatically generated by the AI. So there may still be inaccuracies in translating, please always see Indonesian as our main language. (system supported by DigitalSiber.id)
