Google cho biết việc phát tán phần mềm gián điệp Hermit có liên quan tới các nhà cung cấp dịch vụ Internet

HaiiDeas

Viết dạo...
Tham gia
23/4/16
Bài viết
14,115
Được thích
17,189
1034 #1

Theo nhóm phân tích mối đe dọa tại Google (TAG), một chiến dịch phát tán phần mềm gián điệp với cách thức tinh vi đang nhận được sự trợ giúp từ một số nhà cung cấp dịch vụ Internet (ISP) trong việc hướng người dùng tải xuống các ứng dụng độc hại. Điều này cho thấy rằng, những phát hiện trước đó từ nhóm nghiên cứu bảo mật Lookout về Hermit (có nguồn gốc từ RCS Labs, công ty cung cấp phần mềm gián điệp của Ý) là hoàn toàn chính xác.

Theo nhóm nghiên cứu bảo mật, RCS Labs có liên trực tiếp với NSO Group - công ty đứng sau phần mềm gián điệp khét tiếng Pegasus và chuyên cung cấp các phần mềm gián điệp thương mại cho cơ quan chính phủ. Lookout tin rằng Hermit đã được sử dụng bởi chính phủ Kazakhstan và Ý trong việc theo dõi người dân. Google cho biết, đã xác định được các nạn nhân ở cả hai quốc gia và sẽ tiến hành gửi thông báo tới những người dùng bị ảnh hưởng

Như mô tả trong báo cáo của Lookout, Hermit có thể truy cập vào hồ sơ cuộc gọi, vị trí, ảnh và tin nhắn văn bản trên máy của nạn nhân. Ngoài ra, nó còn giúp kẻ xấu ghi lại âm thanh, thực hiện và chặn cuộc gọi, root thiết bị Android để chiếm toàn bộ quyền kiểm soát hệ điều hành.

Phần mềm gián điệp này có thể lây nhiễm cho cả hai nền tảng Android và iOS bằng cách ngụy trang thành một nguồn hợp pháp, thường ở dạng nhà cung cấp dịch vụ di động hoặc ứng dụng nhắn tin để đánh lừa các công cụ bảo vệ và người dùng. Sau khi cài đặt thành công trên thiết bị, phần mềm tiếp tục tải về các thành phần bổ sung (thực thi mã tùy ý, điều khiển từ xa, theo dõi, đánh cắp dữ liệu v.v...) qua máy chủ từ xa.

Các nhà phân tích mối đe dọa của Google phát hiện ra rằng một số kẻ tấn công thực sự đã làm việc với ISP để tắt dữ liệu di động của nạn nhân, sau đó giả mạo là nhà cung cấp dịch vụ gửi tin nhắn hướng người dùng tải về ứng dụng độc hại với với lý do giúp "khôi phục lại kết nối internet".

Mặc dù phần mềm gián điệp Hermit chưa bao giờ được cung cấp thông qua Google Play hay Apple App Store. Tuy nhiên, những kẻ tấn công đã có thể phân tán ứng dụng bị nhiễm virut trên iOS bằng cách đăng ký Chương trình Doanh nghiệp dành cho Nhà phát triển của Apple. Điều này giúp những kẻ xấu vượt qua quy trình kiểm duyệt tiêu chuẩn của App Store và nhận được chứng chỉ "đáp ứng tất cả các yêu cầu trên mọi thiết bị iOS".

Apple cho biết rằng, sau khi phát hiện ra hành vi này, công ty đã thu hồi bất kỳ tài khoản hoặc chứng chỉ nhà phát triển nào liên quan đến Hermit. Ngoài việc thông báo cho những người dùng bị ảnh hưởng, Google cũng đã đưa ra bản cập nhật Google Play Protect cho tất cả người dùng.


TECHRUM.VN /THEO: THE VERGE
 

Theo dõi Youtube

Quảng Cáo

Quảng Cáo

Có thể bạn quan tâm

Top Bottom