هشدار گوگل درباره جاسوس‌افزار جدیدی که کاربران iOS و اندروید را هدف قرار می‌دهد


در شنیدن این هفته گذشته، گروه NSO فروشنده معروف نرم افزارهای جاسوسی به قانونگذاران اروپایی گفت که حداقل پنج کشور اتحادیه اروپا از بدافزار نظارتی قدرتمند Pegasus آن استفاده کرده اند. اما هرچه بیشتر در مورد واقعیت نحوه سوء استفاده از محصولات NSO در سراسر جهان آشکار می شود، محققان همچنین در تلاش هستند تا آگاهی را افزایش دهند که صنعت نظارت برای استخدام بسیار فراتر از یک شرکت است. روز پنجشنبه، گروه تحلیل تهدید گوگل و تیم تحلیل آسیب‌پذیری پروژه صفر یافته‌هایی را در مورد نسخه iOS یک محصول جاسوس‌افزار منتسب به توسعه‌دهنده ایتالیایی RCS Labs منتشر کردند.

محققان گوگل می گویند که قربانیان این نرم افزارهای جاسوسی را در ایتالیا و قزاقستان در هر دو دستگاه اندروید و iOS شناسایی کرده اند. هفته گذشته، شرکت امنیتی Lookout یافته‌های مربوط به نسخه اندرویدی این نرم‌افزار جاسوسی را منتشر کرد که آن را “Hermit” می‌نامد و همچنین به آزمایشگاه‌های RCS نسبت می‌دهد. Lookout اشاره می‌کند که مقامات ایتالیایی از نسخه‌ای از جاسوس‌افزار در تحقیقات ضد فساد در سال ۲۰۱۹ استفاده کردند. علاوه بر قربانیان مستقر در ایتالیا و قزاقستان، Lookout همچنین داده‌هایی را یافت که نشان می‌دهد یک نهاد ناشناس از این نرم‌افزار جاسوسی برای هدف‌گیری در شمال شرقی سوریه استفاده کرده است.

Clement Lecigne، مهندس امنیت TAG به WIRED می‌گوید: «گوگل سال‌ها فعالیت‌های فروشندگان نرم‌افزارهای جاسوسی تجاری را ردیابی می‌کرد و در آن زمان شاهد گسترش سریع صنعت از چند فروشنده به یک اکوسیستم کامل بودیم. «این فروشندگان امکان گسترش ابزارهای هک خطرناک را فراهم می‌کنند و دولت‌هایی را مسلح می‌کنند که قادر به توسعه این قابلیت‌ها در داخل نیستند. اما شفافیت کمی در این صنعت وجود دارد یا اصلاً وجود ندارد، به همین دلیل است که به اشتراک گذاشتن اطلاعات در مورد این فروشندگان و توانایی های آنها بسیار مهم است.

TAG می گوید در حال حاضر بیش از 30 سازنده نرم افزارهای جاسوسی را که مجموعه ای از قابلیت های فنی و سطوح پیچیدگی را به مشتریان تحت حمایت دولت ارائه می دهند، ردیابی می کند.

در تجزیه و تحلیل خود از نسخه iOS، محققان گوگل دریافتند که مهاجمان نرم افزار جاسوسی iOS را با استفاده از یک برنامه جعلی که شبیه برنامه My Vodafone از اپراتور بین المللی تلفن همراه محبوب است، توزیع می کنند. در حملات اندروید و iOS، مهاجمان ممکن است به سادگی اهداف را فریب داده باشند تا با توزیع یک لینک مخرب برای کلیک قربانیان، برنامه پیام رسانی را دانلود کنند. اما در برخی موارد به خصوص دراماتیک از هدف قرار دادن iOS، گوگل متوجه شد که مهاجمان ممکن است با ISP های محلی کار می کردند تا اتصال داده تلفن همراه یک کاربر خاص را قطع کنند، یک لینک دانلود مخرب از طریق پیامک برای آنها ارسال کنند و آنها را متقاعد کنند که برنامه جعلی My Vodafone را نصب کنند. از طریق Wi-Fi با این وعده که این سرویس تلفن همراه آنها را بازیابی می کند.

مهاجمان می‌توانند برنامه مخرب را توزیع کنند زیرا آزمایشگاه‌های RCS در برنامه توسعه‌دهنده شرکتی اپل، ظاهراً از طریق یک شرکت پوسته‌ای به نام «3-1 Mobile SRL» ثبت‌نام کرده بودند تا گواهینامه‌ای را به دست آورند که به آنها اجازه می‌دهد برنامه‌ها را بدون مرور AppStore معمولی اپل بارگذاری کنند. روند.

اپل به WIRED می‌گوید که تمام حساب‌ها و گواهی‌های مرتبط با کمپین جاسوس‌افزاری باطل شده‌اند.

این شرکت در گزارش اکتبر درباره بارگذاری جانبی نوشت: «گواهینامه‌های سازمانی فقط برای استفاده داخلی توسط یک شرکت در نظر گرفته شده‌اند و برای توزیع عمومی برنامه در نظر گرفته نشده‌اند، زیرا می‌توان از آنها برای دور زدن حفاظت‌های App Store و iOS استفاده کرد. با وجود کنترل‌های سخت و مقیاس محدود برنامه، بازیگران بد راه‌های غیرمجاز برای دسترسی به آن پیدا کرده‌اند، برای مثال با خرید گواهی‌های شرکتی در بازار سیاه.