32 C
Ho Chi Minh City
Thứ Sáu, Tháng Tám 12, 2022

Google cho biết những kẻ tấn công đã làm việc với ISP để triển khai phần mềm gián điệp Hermit trên Android và iOS

Theo nghiên cứu được xuất bản bởi Nhóm phân tích mối đe dọa của Google (TAG) (qua TechCrunch). Điều này chứng thực sớm hơn phát hiện từ nhóm nghiên cứu bảo mật Lookoutđã liên kết phần mềm gián điệp, có tên là Hermit, với nhà cung cấp phần mềm gián điệp RCS Labs của Ý.

Lookout cho biết RCS Labs có cùng công việc với NSO Group – công ty cho thuê giám sát khét tiếng đằng sau phần mềm gián điệp Pegasus – và bán phần mềm gián điệp thương mại cho các cơ quan chính phủ khác nhau. Các nhà nghiên cứu tại Lookout tin rằng Hermit đã được chính phủ Kazakhstan và chính quyền Ý triển khai. Cùng với những phát hiện này, Google đã xác định được nạn nhân ở cả hai quốc gia và cho biết họ sẽ thông báo cho những người dùng bị ảnh hưởng.

Như được mô tả trong báo cáo của Lookout, Hermit là một mối đe dọa mô-đun có thể tải xuống các khả năng bổ sung từ máy chủ lệnh và điều khiển (C2). Điều này cho phép phần mềm gián điệp truy cập vào hồ sơ cuộc gọi, vị trí, ảnh và tin nhắn văn bản trên thiết bị của nạn nhân. Hermit cũng có thể ghi lại âm thanh, thực hiện và chặn cuộc gọi điện thoại, cũng như root thiết bị Android, giúp thiết bị này có toàn quyền kiểm soát hệ điều hành cốt lõi của mình.

Phần mềm gián điệp có thể lây nhiễm sang cả Android và iPhone bằng cách ngụy trang thành một nguồn hợp pháp, thường ở dạng nhà cung cấp dịch vụ di động hoặc ứng dụng nhắn tin. Các nhà nghiên cứu an ninh mạng của Google phát hiện ra rằng một số kẻ tấn công thực sự đã làm việc với ISP để tắt dữ liệu di động của nạn nhân nhằm tiếp tục âm mưu của chúng. Những kẻ xấu sau đó sẽ đóng giả là nhà cung cấp dịch vụ di động của nạn nhân qua SMS và lừa người dùng tin rằng việc tải xuống ứng dụng độc hại sẽ khôi phục kết nối internet của họ. Nếu những kẻ tấn công không thể làm việc với ISP, Google cho biết họ đã giả mạo các ứng dụng nhắn tin có vẻ xác thực để lừa người dùng tải xuống.

Các nhà nghiên cứu từ Lookout và TAG cho biết các ứng dụng chứa Hermit chưa bao giờ được cung cấp thông qua Google Play hoặc Apple App Store. Tuy nhiên, những kẻ tấn công đã có thể phân phối các ứng dụng bị nhiễm virut trên iOS bằng cách đăng ký vào Chương trình Doanh nghiệp dành cho Nhà phát triển của Apple. Điều này cho phép những kẻ xấu vượt qua quy trình kiểm duyệt tiêu chuẩn của App Store và nhận được chứng chỉ “đáp ứng tất cả các yêu cầu ký mã iOS trên mọi thiết bị iOS”.

Apple nói với The Verge rằng nó đã thu hồi bất kỳ tài khoản hoặc chứng chỉ nào liên quan đến mối đe dọa. Ngoài việc thông báo cho những người dùng bị ảnh hưởng, Google cũng đã đưa ra bản cập nhật Google Play Protect cho tất cả người dùng.



Nguồn The Verge

Bài viết liên quan

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây
This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Bài viết mới nhất

Kết nối với chúng tôi

333Thành viênThích
269Người theo dõiTheo dõi