گوگل هشدار می دهد که ارائه دهندگان خدمات اینترنتی به توزیع نرم افزارهای جاسوسی Hermit کمک کرده اند.

گوگل در مورد یک کمپین جدید نرم افزارهای جاسوسی هشدار می دهد که عوامل مخرب داده های حساس کاربران اندروید و iOS در ایتالیا و قزاقستان را به سرقت برده اند. روز پنجشنبه، گروه تحلیل تهدیدات (TAG) این شرکت یافته‌های خود را در RCS، یک فروشنده تجاری جاسوس‌افزار مستقر در خارج از ایتالیا به اشتراک گذاشت.

در 16 ژوئن، محققان امنیتی در Lookout، این شرکت را به Hermit مرتبط کردند، یک برنامه جاسوس‌افزار که گمان می‌رود اولین بار در سال 2019 توسط مقامات ایتالیایی به عنوان بخشی از یک عملیات ضد فساد به کار گرفته شد. Lookout آزمایشگاه RCS را به عنوان یک موجودیت مشابه NSO Group توصیف می کند. این شرکت خود را به‌عنوان یک تجارت «شنود قانونی» معرفی می‌کند و ادعا می‌کند که فقط با سازمان‌های دولتی کار می‌کند. با این حال، فروشندگان نرم‌افزارهای جاسوسی تجاری در سال‌های اخیر تحت نظارت شدید قرار گرفته‌اند، که عمدتاً به لطف دولت‌هایی است که از جاسوس‌افزار Pegasus برای هدف قرار دادن فعالان و روزنامه‌نگاران استفاده می‌کنند.

به گفته گوگل، هرمیت می تواند دستگاه های اندروید و iOS را آلوده کند. در برخی موارد، محققان شرکت مشاهده کردند که عوامل مخرب با ارائه‌دهنده خدمات اینترنتی مورد نظرشان کار می‌کنند تا اتصال داده‌شان را غیرفعال کنند. سپس آنها یک پیام اس ام اس را با درخواست دانلود نرم افزار پیوند داده شده برای بازیابی اتصال اینترنتی خود به هدف ارسال می کردند. اگر این یک گزینه نبود، بازیگران مخرب تلاش کردند تا جاسوس افزار را به عنوان یک برنامه پیام رسانی قانونی مانند واتس آپ یا اینستاگرام پنهان کنند.

چیزی که هرمیت را به ویژه خطرناک می کند این است که می تواند با دانلود ماژول ها از سرور فرمان و کنترل، قابلیت های بیشتری به دست آورد. برخی از افزونه‌های مشاهده‌شده Lookout به برنامه اجازه می‌داد تا داده‌ها را از برنامه‌های تقویم و دفترچه آدرس هدف بدزدد و همچنین با دوربین گوشی آن‌ها عکس بگیرد. یک ماژول حتی به نرم افزار جاسوسی توانایی روت کردن یک دستگاه اندرویدی را داد.

گوگل معتقد است هرمیت هرگز به فروشگاه های Play یا App Store راه پیدا نکرد. با این حال، این شرکت شواهدی پیدا کرد مبنی بر اینکه بازیگران مخرب قادر به توزیع نرم افزارهای جاسوسی در iOS با ثبت نام در برنامه Developer Enterprise اپل بودند. اپل به The Verge گفت که از آن زمان هر حساب یا گواهی مرتبط با این تهدید را مسدود کرده است. در همین حال، گوگل به کاربران آسیب دیده اطلاع داده و به روز رسانی Google Play Protect را ارائه کرده است.

این شرکت پست خود را با ذکر این نکته به پایان می رساند که رشد صنعت جاسوس افزار تجاری باید نگرانی همه باشد. این شرکت گفت: «این فروشندگان امکان گسترش ابزارهای هک خطرناک را فراهم می‌کنند و دولت‌هایی را مسلح می‌کنند که قادر به توسعه این قابلیت‌ها در داخل نیستند. «در حالی که استفاده از فناوری‌های نظارتی ممکن است بر اساس قوانین ملی یا بین‌المللی قانونی باشد، اغلب مشخص می‌شود که دولت‌ها از آن‌ها برای اهدافی مخالف ارزش‌های دموکراتیک استفاده می‌کنند.»