攻擊者與ISP內部人士勾結 在Android和iOS上散佈Hermit間諜軟件


根據Google威脅分析小組(TAG)公佈的研究,一個復雜的間諜軟件活動正在得到互聯網服務提供商(ISP)內部人士的暗中幫助以欺騙用戶下載惡意的應用程序。這證實瞭安全研究組織Lookout早些時候的發現,該組織將這種被稱為Hermit的間諜軟件與意大利間諜軟件供應商RCS實驗室聯系起來。

pasted_image_0_11_cozugbj.max-1000x1000.pngScreenshot_2022-06-22_11.10.41_PM.max-1000x1000.png

一個被攻擊和篡改的網站案例

Lookout稱,RCS實驗室與NSO集團 - 也就是PegASUS間諜軟件背後臭名昭著的監控雇傭公司是同一傢公司,他們向各國各級政府機構兜售商業間諜軟件。Lookout的研究人員認為Hermit已經被哈薩克斯坦政府和意大利當局部署。根據這些發現,Google已經確定瞭這兩個國傢的受害者,並表示它將通知受影響的用戶。

正如Lookout的報告中所描述的,Hermit是一個模塊化的威脅,可以從一個指揮和控制(C2)服務器上下載額外的功能。這使得間諜軟件能夠訪問受害者設備上的通話記錄、位置、照片和短信。Hermit還能錄制音頻,撥打和攔截電話,以及root到Android設備,這使它能夠完全控制其核心操作系統。

"含有Hermit的應用程序從未通過Google Play或蘋果應用商店提供"

這種間諜軟件可以通過將自己偽裝成合法來源來感染Android和蘋果iPhone手機,通常以移動運營商或消息應用程序的形式出現。Google的網絡安全研究人員發現,一些攻擊者實際上與互聯網服務提供商合作,關閉受害者的移動數據,以推進其計劃。然後,不良行為者會通過短信冒充受害者的移動運營商,欺騙用戶相信下載一個惡意的應用程序將恢復他們的互聯網連接。如果攻擊者無法與互聯網服務供應商合作,Google說他們會冒充看似真實的消息應用程序,欺騙用戶下載。

Lookout和TAG的研究人員說,含有Hermit的應用程序從始至終從未通過Google Play或蘋果應用商店提供。然而,攻擊者卻能夠通過註冊蘋果公司的開發者企業計劃,在iOS上分發受感染的應用程序。這使得不懷好意者可以繞過App Store的標準審查程序,獲得"滿足任何iOS設備上所有iOS代碼簽名要求"的證書。

蘋果公司表示,他們已經註意到並撤銷瞭與該威脅有關的任何賬戶或證書。除瞭通知受影響的用戶,Google還向所有用戶推送瞭Google Play Protect更新。

閱讀安全報告全文:

https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/


相關推薦

2022-06-24

早些時候,Lookout安全研究人員將一款名為Hermit的Android間諜軟件,與意大利RCSLab軟件公司聯系瞭起來。現在,Google威脅研究人員已經證實瞭Lookout的大部分發現,並且正在向遭到Hermit移動間諜軟件入侵的Android用戶發去警告。被攻

2024-03-28

移動設備漏洞利用的罪魁禍首,在 2023 年針對Google產品和Android生態系統設備的已知0day漏洞中,Google占 75%(17 個漏洞中的 13 個)。TAG 公司的研究人員 Maddie Stone 說,Google的0day發現最令人震驚的是,大量漏洞被 CSV 在野外利用,

2022-06-24

用其產品的行為。Google指出,該公司已采取措施保護使用Android操作系統的用戶,並提醒他們註意間諜軟件攻擊。隨著越來越多的公司為執法部門開發攔截工具,為政府開發間諜軟件的活動也越來越多。在某些情況下,反監視活

2024-04-17

一個安全博客聲稱,最近對iPhone的攻擊是由名為LightSpy的間諜軟件完成的,該軟件似乎與中國有關。2024年4月11日,蘋果公司向包括印度在內的92個國傢的用戶發出警報,稱他們可能受到"雇傭間諜軟件攻擊"的影

2023-10-31

其他政黨成員和記者,他們的iPhone手機將成為國傢支持的攻擊目標,這是這一南亞國傢大選前幾個月發生的一起引人註目的事件和指控。反對黨國大黨的重要人物沙希-塔魯爾(Shashi Tharoor)、薩馬吉瓦迪黨領導人阿基萊什-亞達

2022-07-22

,向土耳其、也門、巴勒斯坦的個人和黎巴嫩的記者發起攻擊,並且侵入一傢新聞機構員工使用的網站。Avast 惡意軟件研究員 Jan Vojtěšek 表示:“雖然無法確定攻擊者的真實目的,但攻擊追捕記者或找到泄露消息來源的做法,

2022-07-28

軟件,微軟方面將其稱為Knotweed。MSTIC已經發現DSIRF與這些攻擊中使用的漏洞和惡意軟件之間有多種聯系。其中包括惡意軟件使用的命令和控制基礎設施直接與DSIRF相連,一個與DSIRF有關的GitHub賬戶被用於一次攻擊,一個發給DSIRF的

2023-04-12

理論上,大多數惡意的Android應用來自可疑的網頁或第三方應用商店,但安全研究人員經常發現它們隱藏在Google的官方Play商店中。卡巴斯基的一份新報告表明,被黑的PlayStore應用正變得越來越復雜。在本周發表的一份新報告中,

2024-04-16

的這個漏洞信息是否為真。對,這個 CodeBreach Lab 還售賣 Android、Windows 以及 WhatsApp 的安全漏洞,如果是真的話他們應該是信息中介而非原始漏洞開發者。從此前 NSO 集團飛馬座商業間諜軟件的案例來看,安全業界是在 NSO 發起攻

2022-07-28

機。蘋果在11月警告那些受感染的手機。為嘗試挫敗此類攻擊,蘋果在iOS 16和即將到來的MacOS Ventura中建立一個新的鎖定模式。

2023-11-19

資料顯示,這傢iPhone制造商為防止Pegasus等工具訪問易受攻擊的用戶數據不惜一切代價。面對Pegasus等威脅和國傢行為者的黑客企圖,蘋果公司多年來不得不加強安全措施。除努力保證iOS和其他操作系統的安全外,蘋果還推出鎖定

2024-02-06

府遏制濫用商業間諜軟件的努力升級,包括利用間諜軟件攻擊記者、持不同政見者、邊緣化群體成員以及這些群體成員的傢人。一位高級政府官員告訴記者,國務院計劃根據具體情況決定哪些人屬於這一類別。該官員補充說,簽

2023-03-28

用的資格。如果是這樣就不允許:被外國個人或政府用來攻擊美國政府被一個有意在未經美國政府許可的情況下發佈有關美國政府活動的"非公開信息"的實體出售"在試圖監視美國的"外國政府或外國人士的直接或有

2024-03-19

國政府人員成為這種被視為國傢安全和反間諜威脅的技術攻擊目標的新案例。美國國傢安全委員會的一位官員介紹說:"我們正在積極、深入地努力確認和證實更多"美國政府人員的手機被商業間諜軟件盯上的案例。"一