تحصل حملة برامج التجسس المتطورة على مساعدة مزودي خدمة الإنترنت ISP لخداع المستخدمين لتنزيل تطبيقات ضارة، وفقًا لبحث نشرته مجموعة تحليل التهديدات (TAG) من شركة جوجل.
ويؤكد هذا النتائج السابقة التي توصلت إليها مجموعة الأبحاث الأمنية Lookout. وربطت Lookout برامج التجسس، التي يطلق عليها اسم Hermit، ببائع برامج التجسس الإيطالية RCS Labs.
وتقول Lookout إن RCS Labs تعمل في نفس مجال العمل مع NSO Group وتبيع برامج التجسس التجارية إلى وكالات حكومية مختلفة.
ويعتقد الباحثون في Lookout أن Hermit قد تم نشره بواسطة حكومة كازاخستان والسلطات الإيطالية. كما يقولون إنهم رأوا برنامج التجسس منتشر في شمال سوريا.
وقالت Lookout في تحليلها إن Hermit يعمل عبر جميع إصدارات أندرويد. وتماشياً مع هذه النتائج، حددت جوجل الضحايا البارزين وقالت إنها تبلغ المستخدمين المتأثرين.
ويعد Hermit عبارة عن تهديد نمطي يمكنه تنزيل قدرات إضافية من خادم القيادة والسيطرة. ويسمح ذلك لبرامج التجسس بالوصول إلى سجلات المكالمات والموقع والصور والرسائل النصية عبر جهاز الضحية.
كما أن Hermit قادر أيضًا على تسجيل الصوت وإجراء المكالمات الهاتفية واعتراضها بالإضافة إلى الوصول إلى المستخدم الجذر لجهاز أندرويد المصاب، مما يمنح برنامج التجسس وصولاً أعمق إلى بيانات الضحية.
ويمكن أن تصيب برامج التجسس كلاً من أندرويد وآيفون عن طريق التنكر كمصدر شرعي، وعادة ما يتخذ شكل شركة اتصالات أو تطبيق مراسلة.
ووجد باحثو الأمن السيبراني في جوجل أن بعض المهاجمين عملوا مع مزودي خدمة الإنترنت لإيقاف تشغيل بيانات الجوال الخاصة بالضحية لتعزيز مخططهم.
وبعد ذلك، قد يتظاهر المهاجمون بأنهم مشغلو جوال الضحية عبر الرسائل القصيرة. ويخدعون المستخدمين للاعتقاد بأن تنزيل تطبيق ضار قد يعيد اتصالهم بالإنترنت.
وأوضحت جوجل أنه إذا كان المهاجمون غير قادرين على العمل مع مزود خدمة الإنترنت، فإنهم يقدمون تطبيقات مراسلة تبدو أصلية لخداع المستخدمين لتنزيلها.
جوجل تحذر الضحايا من برامج التجسس Hermit
تقول جوجل إن التطبيقات التي تحتوي على Hermit لم يتم توفيرها عبر متجري جوجل بلاي وآب ستور. ومع ذلك، تمكن المهاجمون من توزيع التطبيقات المصابة عبر iOS من خلال التسجيل في برنامج Developer Enterprise من شركة آبل.
وسمح هذا للمهاجمين بتجاوز عملية الفحص القياسية في متجر التطبيقات. إلى جانب الحصول على شهادة بأنه يفي بجميع متطلبات توقيع رمز iOS عبر أي جهاز iOS.
وقالت شركة آبل إنها ألغت منذ ذلك الحين أي حسابات أو شهادات مرتبطة بالتهديد. وبالإضافة إلى إخطار المستخدمين المتأثرين، أرسلت جوجل أيضًا تحديث Google Play Protect لجميع المستخدمين لحظر تشغيل التطبيق.