تحصل حملة برامج التجسس المتطورة على مساعدة مزودي خدمة الإنترنت (ISPs) لخداع المستخدمين لتنزيل تطبيقات ضارة ، وفقًا لبحث نشرته مجموعة تحليل التهديدات (TAG) من جوجل (عبر TechCrunch)، وتؤكد هذه النتائج السابقة التي توصلت إليها مجموعة الأبحاث الأمنية Lookout ، التي ربطت برامج التجسس، يطلق عليها اسم Hermit ، ببائع برامج التجسس الإيطالية RCS Labs.
وتقول Lookout أن RCS Labs تعمل في نفس مجال العمل مع NSO Group - شركة المراقبة للتأجير سيئة السمعة التي تقف وراء برنامج التجسس Pegasus - وتبيع برامج التجسس التجارية إلى وكالات حكومية مختلفة.
ويعتقد الباحثون فى Lookout أن Hermit قد تم نشره بالفعل من قبل حكومة كازاخستان والسلطات الإيطالية. تماشياً مع هذه النتائج، حددت جوجل الضحايا في كلا البلدين وقالت إنها ستبلغ المستخدمين المتأثرين.
كما هو موضح في تقرير Lookout ، فإن Hermit عبارة عن تهديد نمطي يمكنه تنزيل قدرات إضافية من خادم القيادة والسيطرة (C2). يسمح ذلك لبرامج التجسس بالوصول إلى سجلات المكالمات والموقع والصور والرسائل النصية على جهاز الضحية، ووفقا لتقرير موقع ذا فيرج، فإن Hermit قادر أيضًا على تسجيل الصوت، وإجراء المكالمات الهاتفية واعتراضها، بالإضافة إلى الجذر لجهاز أندرويد، مما يمنحه التحكم الكامل في نظام التشغيل الأساسي الخاص به.
ويمكن أن تصيب برامج التجسس كلاً من أندرويد وآيفون عن طريق التنكر كمصدر شرعي، وعادة ما يتخذ شكل شركة اتصالات أو تطبيق مراسلة. وجد باحثو الأمن السيبراني في جوجل أن بعض المهاجمين عملوا بالفعل مع مزودي خدمة الإنترنت لإيقاف تشغيل بيانات الجوال الخاصة بالضحية لتعزيز مخططهم.
وبعد ذلك قد يتظاهر الممثلون السيئون بأنهم مشغلو جوال الضحية عبر الرسائل القصيرة ويخدعون المستخدمين للاعتقاد بأن تنزيل تطبيق ضار سيعيد اتصالهم بالإنترنت.
وإذا كان المهاجمون غير قادرين على العمل مع مزود خدمة الإنترنت، فإن جوجل تقول إنهم قدموا تطبيقات مراسلة أصلية على ما يبدو خدعوا المستخدمين لتنزيلها.
ويقول باحثون من Lookout و TAG إن التطبيقات التي تحتوي على Hermit لم يتم توفيرها مطلقًا عبر جوجل بلاى أو آبل آب ستور. ومع ذلك تمكن المهاجمون من توزيع التطبيقات المصابة على iOS من خلال التسجيل في برنامج Apple Developer Enterprise.
وسمح هذا للممثلين السيئين بتجاوز عملية الفحص القياسية فى متجر التطبيقات والحصول على شهادة "تفي بجميع متطلبات توقيع رمز iOS على أي أجهزة iOS".
ومن جهة أخرى أخبرت آبل موقع ذا فيرج أنها ألغت منذ ذلك الحين أي حسابات أو شهادات مرتبطة بالتهديد. بالإضافة إلى إخطار المستخدمين المتأثرين، دفعت جوجل أيضًا تحديث Google Play Protect لجميع المستخدمين.