گوگل به‌تازگی هشدارهایی درمورد نوعی جاسوسافزار در سطح سازمانی که کاربران دستگاه‌های اندرویدی و iOS را موردحمله قرار می‌دهند، ارائه می‌دهند. به‌گفته‌ی گروه تجزیه‌وتحلیل گوگل موسوم به برچسب، بنویت سون و کلمنت لجین و همچنین اعضای پروژه صفر (Project Zero) نوعی نرم‌افزار جاسوسی اندروید و iOS در درجه‌های دولتی و سازمانی، درحال‌حاضر فعال است. تا این‌لحظه قربانیان این نرم‌افزار جاسوسی در ایتالیا و قزاقستان شناسایی شدند.

به گزارش ZDNet، نرم‌افزار جاسوسی جدید، Hermit نام دارد که در واقع می‌توان آن را ابزارهای نظارتی و ماژولار توصیف کرد. امنیت امنیت سایبری Lookout پس از تجزیه و تحلیل ۱۶ ماژول از ۲۵ ماژول این جاسوسافزار اعلام کرد که این بدافزار سعی می‌کند دستگاه‌های هدف را روت کند و از قابلیت‌هایی مانند ضبط صدا، کنترل یا کنترل تلفن‌های ثابت، مجموعه اطلاعات ازجمله پیام‌های کوتاه، گزارش‌های تماس، فهرست شود. تماس‌ها، عکس‌ها و داده‌های مربوط به موقعیت مکانی می‌برد.

تجزیه‌وتحلیل Lookout که در تاریخ ۱۶ ژوئن منتشر شد، این نرم‌افزار جاسوسی ازطریق پیامک‌های مخرب ارسال می‌شود. نتیجه‌گیری‌ TAG نیز با این داده‌ها مطابقت دارد. این بدافزار با پیوندهای ویژه به‌فرد ارسال‌شده به هدف، به‌عنوان پیام‌های ارسال‌شده ازطریق ارائه خدمات اینترنتی (ISP) یا یک اپلیکیشن پیام‌رسانی، خود را مخفی می‌کند.

گوگل درمورد هرمیت می‌گوید:

ما معتقدیم در برخی موارد، ما با ISPها برای غیرفعال کردن ارتباط تلفنی همراه با هدف، همکاری کرده‌اند. پس از غیرفعال شدن این ویژگی، یک پیوند مخرب ازطریق پیامک ارسال می‌کند و از هدف می‌کند اپلیکیشن را برای بازیابی اتصال داده‌های خود نصب کند.

تیم Lookout فقط انتخاب شده است نسخه‌ی اندروید هرمیت را شناسایی کرده اما درحال‌حاضر گوگل یک نمونه iOS را هم به‌ تحقیقات اضافه کرده است. هیچ‌کدام از نمونه‌های موجود در مخازن اپلیکیشن‌های رسمی گوگل یا یافتن اپلیکیشن‌ها و درعوض، برنامه‌های مملو از نرم‌افزارهای جاسوسی از میزبان‌های غیررسمی دانلود شده‌اند.

نمونه اندرویدی این بدافزار از قربانی درخواست می‌کند اجازه نصب اپلیکیشن از منابع ناشناس را فعال کند. این بدافزار خود را به‌عنوان یک اپلیکیشن سامسونگ پنهان می‌کند و از Firebase به‌عنوان زیرساخت فرمان و کنترل خود بهره می‌برد.

معلم می‌گویند:

که خود APK آسیب پذیر نیست، اما کد آن به آسیب پذیری هایی اشاره دارد که می توان آن ها را دانلود و اجرا کرد.

مقاله مرتبط:

گوگل به کاربران اندرویدی که تحت تأثیر این جاسوس‌افزار قرار می‌دهند، می‌توانند این تغییرات را در Play Protect اعمال کنند تا از آن‌ها دربرابر فعالیت‌های هرمیت محافظت کند. علاوه بر این، پروژه های Firebase مرتبط با این نرم افزار جاسوسی، غیرفعال شده اند.

نمونه‌ای از iOS این جاسوسافزار با گواهی به دست‌آمده از برنامه Apple Developer Enterprise امضا شده و دارای قابلیتی برای سوءاستفاده از افزایش امتیاز است که می‌تواند از ۶ آسیب پذیری ایجاد شود.

چهار آسیب پذیرنده با نام‌های CVE-2018-4344، CVE-2019-8605، CVE-2020-3837، CVE-20no20-9907 شناخته شده‌اند، دو مورد دیگر نیز با نام‌های CVE-2021-30883 و CVE-3083 به CVE-2021 شناخته شده‌اند. نمونه های مشکوک شناسایی شده اند. اپل نیز گواهی‌های مرتبط با کمپین هرمیت را باطل کرده است.

گوگل و Lookout می‌گویند این نرم‌افزار جاسوسی احتمالاً با RCS Lab مرتبط است. شرکت ایتالیایی از سال ۱۹۹۳ در حال فعالیت است. آزمایشگاه RCS در گفت‌وگو با وب‌سایت TechCrunch گفت که این شرکت محصولات خود را مطابق با قوانین و مقررات ملی و اروپایی صادر می‌کند و می‌تواند فروش یا اجرای محصولات را فقط پس از دریافت مجوز رسمی از مقامات ذیصلاح انجام دهد.

انتشار هرمیت صنعت پررونق جا‌افزار و نظارت دیجیتال را برجسته‌تر می‌کند

گوگل هفته گذشته در جلسه کمیسیون تحقیق درباره تصمیم اتحادیه اروپا درمورد استفاده از پگاسوس (Pegasus) و سایر نرم افزارهای جاسوسی درجه تجاری، شهادت داد. TAG درحال‌حاضر بیش از ۳۰ فروشنده را ردیابی می‌کند که امکان سوء استفاده از نرم‌افزارهای جاسوسی را با نهادهای تحت حمایت دولت‌ها ارائه می‌دهند و می‌گویند. چارلی اسنایدررئیس سیاست امنیت سایبری گوگل، از این نرم افزارهای جاسوسی استفاده می کند که ممکن است قانونی باشد، اما اغلب مشخص می شود که دولت ها از آن ها برای مقاصد دیگری استفاده می کنند که مخالف ارزش های دموکراتیک و بیشتر مخالفان، روزنامه نگاران، فعالان هستند. حقوق بشر و سیاست‌مداران را تحت تأثیر قرار می‌دهند. اسنایدر گفت:

به همین دلیل است که وقتی گوگل این نوع فعالیت‌ها را می‌کند، ما نه‌تنها برای محافظت از کاربران می‌دهیم، بلکه آن را به صورت عمومی برای افزایش اطلاعات و کمک به اکوسیستم‌ها، فاش می‌کنیم.