تخدع برامج التجسس المتطورة المستخدمين لتنزيل تطبيقات ضارة بمساعدة مزودي خدمة الإنترنت (ISPs) ، وفقًا لتقرير نشرته مجموعة تحليل التهديدات (TAG) من Google.
وتؤيد هذه النتائج السابقة التي توصلت إليها مجموعة الأبحاث الأمنية Lookout ، التي ربطت بين برنامج التجسس المسمى Hermit ومختبرات RCS Labs لبرامج التجسس الإيطالية.
قال Lookout إن RCS Labs تعمل في نفس مجال الأعمال مع NSO Group ، وهي شركة مراقبة للتأجير سيئة السمعة وراء برنامج التجسس Pegasus ، وتبيع برامج التجسس التجارية إلى وكالات حكومية مختلفة.
يعتقد باحثو Lookout أن الحكومة الكازاخستانية والسلطات الإيطالية قد نشروا Hermit. بناءً على هذه النتائج ، حددت Google الضحايا في كلا البلدين وقالت إنها ستبلغ المستخدمين المتأثرين.
كما هو موضح في تقرير Lookout ، يعد Hermit تهديدًا نموذجيًا يقوم بتنزيل المكونات الإضافية من خوادم (C2). يسمح ذلك لبرامج التجسس بالوصول إلى سجلات المكالمات والمواقع والصور والرسائل النصية على جهاز الضحية.
Hermit قادر أيضًا على تسجيل الصوت وإجراء المكالمات واعتراضها والوصول إلى المكونات الأساسية لجهاز Android ، مما يمنحه تحكمًا كاملاً في نظام التشغيل الأساسي الخاص به.
يمكن لبرامج التجسس إخفاء نفسها كمصدر شرعي ، وغالبًا ما تصيب أجهزة Android و iPhone في شكل تطبيقات الناقل أو المراسلة.
توصل باحثو الأمن السيبراني في Google إلى أن بعض المهاجمين دخلوا في شراكة مع مزودي خدمة الإنترنت لإغلاق بيانات الهاتف المحمول الخاصة بالضحايا لتطوير مخططاتهم.
يمكن للمهاجم بعد ذلك أن يتنكر في صورة شركة الهاتف المحمول الخاصة بالضحية عبر رسالة نصية ، ويخدع المستخدم للاعتقاد بأن تنزيل التطبيق الضار سيعيد الاتصال بالإنترنت.
قال باحثون في Lookout و TAG إن التطبيق الذي يحتوي على Hermit لم يتم توفيره من خلال متجر Google Play أو متجر التطبيقات.
ومع ذلك ، يمكن للمهاجمين توزيع التطبيقات المصابة على iOS من خلال التسجيل في برنامج Apple Developer Enterprise.
يتيح ذلك للمهاجم تجاوز عملية فحص App Store القياسية والحصول على شهادة “تفي بجميع متطلبات iOS على أي جهاز iOS.”