Google đang cảnh báo về một chiến dịch phần mềm gián điệp mới tinh vi đã chứng kiến những kẻ xấu ăn cắp dữ liệu nhạy cảm từ người dùng Android và iOS ở Ý và Kazakhstan. Vào thứ Năm, Nhóm phân tích mối đe dọa (TAG) của công ty đã chia sẻ những phát hiện của họ trên RCS Labs, một nhà cung cấp phần mềm gián điệp thương mại có trụ sở tại Ý.
Bật Ngày 16 tháng 6, các nhà nghiên cứu bảo mật tại đã liên kết công ty với Hermit, một chương trình phần mềm gián điệp được cho là đã được chính quyền Ý triển khai lần đầu tiên vào năm 2019 như một phần của chiến dịch chống tham nhũng. Lookout mô tả RCS Labs là một thực thể giống như NSO Group. Công ty tiếp thị bản thân như một doanh nghiệp “được đánh giá hợp pháp” và tuyên bố nó chỉ hoạt động với các cơ quan chính phủ. Tuy nhiên, các nhà cung cấp phần mềm gián điệp thương mại đã bị giám sát gắt gao trong những năm gần đây, phần lớn là nhờ các chính phủ sử dụng phần mềm gián điệp Pegasus để .
Theo Google, Hermit có thể lây nhiễm trên cả thiết bị Android và iOS. Trong một số trường hợp, các nhà nghiên cứu của công ty đã quan sát thấy những kẻ độc hại làm việc với nhà cung cấp dịch vụ internet của mục tiêu để vô hiệu hóa kết nối dữ liệu của họ. Sau đó, họ sẽ gửi cho mục tiêu một tin nhắn SMS với lời nhắc tải xuống phần mềm được liên kết để khôi phục kết nối internet của họ. Nếu đó không phải là một lựa chọn, thì những kẻ xấu đã cố gắng ngụy trang phần mềm gián điệp thành một ứng dụng nhắn tin hợp pháp như WhatsApp hoặc Instagram.
Điều khiến Hermit trở nên đặc biệt nguy hiểm là nó có thể đạt được các khả năng bổ sung bằng cách tải xuống các mô-đun từ một máy chủ điều khiển và chỉ huy. Một số addon mà Lookout quan sát được đã cho phép chương trình lấy cắp dữ liệu từ các ứng dụng lịch và sổ địa chỉ của mục tiêu, cũng như chụp ảnh bằng camera trên điện thoại của họ. Một mô-đun thậm chí còn cung cấp cho phần mềm gián điệp khả năng root một thiết bị Android.
Google tin rằng Hermit không bao giờ đến được Play hoặc App store. Tuy nhiên, công ty đã tìm thấy bằng chứng cho thấy những kẻ xấu có thể phát tán phần mềm gián điệp trên iOS bằng cách đăng ký vào của Apple. Apple nói với rằng nó đã chặn bất kỳ tài khoản hoặc chứng chỉ nào liên quan đến mối đe dọa. Trong khi đó, Google đã thông báo cho những người dùng bị ảnh hưởng và tung ra bản cập nhật cho Google Play Protect.
Công ty kết thúc bài đăng của mình bằng cách lưu ý rằng sự phát triển của ngành phần mềm gián điệp thương mại sẽ khiến mọi người quan tâm. Công ty cho biết: “Những nhà cung cấp này đang tạo điều kiện cho sự gia tăng của các công cụ hack nguy hiểm và trang bị vũ khí cho các chính phủ sẽ không thể phát triển những khả năng này ngay trong nhà,” công ty cho biết. “Mặc dù việc sử dụng các công nghệ giám sát có thể hợp pháp theo luật quốc gia hoặc quốc tế, chúng thường được các chính phủ sử dụng cho các mục đích trái ngược với các giá trị dân chủ: nhắm vào những người bất đồng chính kiến, nhà báo, nhân quyền và các chính trị gia của đảng đối lập.”
Tất cả các sản phẩm do Engadget đề xuất đều được nhóm biên tập của chúng tôi lựa chọn, độc lập với công ty mẹ của chúng tôi. Một số câu chuyện của chúng tôi bao gồm các liên kết liên kết. Nếu bạn mua thứ gì đó thông qua một trong những liên kết này, chúng tôi có thể kiếm được hoa hồng liên kết.