פגסוס 2.0? דוח חדש של קבוצת מחקר האיומים של גוגל (TAG) חושף רוגלה חדשה המסוגלת להתחזות לאפליקציות סמארטפון לגיטימיות על גבי מכשירי אנדרואיד ו-iOS. הרוגלה, שזכתה לכינוי "Hermit", זוהתה לראשונה על ידי חוקרים של חברת התוכנה "Lookout", שקישרה את הרוגלה לספקית התוכנה האיטלקית RCS Labs.
עוד כתבות שיעניינו אתכם:
על-פי הממצאים שפורסמו, Hermit היא למעשה "איום מודולרי", המסוגל לקבל גישה מלאה למכשיר הנפרץ, תוך שהיא מתחזה לאפליקציה לגיטימית המותקנת במכשיר. הרמיט מסוגלת לאסוף מידע על אודות המשתמשים, לרבות היסטוריית שיחות ומיקום, זאת לצד גישה מלאה להודעות ולתמונות של המשתמש. כמו כן, הרמיט מסוגלת להקליט אודיו ישירות מהמכשיר ללא ידיעת המשתמש ולבצע ולחסום שיחות טלפון.
חוקרי Lookout שזיהו את הרוגלה לראשונה טוענים שהיא מזכירה תוכנות ריגול מתקדמות אחרות, לרבות תוכנת פגסוס של NSO ותוכנת FinFisher של Gamma Group. עוד טוענים החוקרים שהרוגלה החדשה הופצה על-ידי הרשויות באיטליה ובקזחסטן, ויש עדויות לשימוש בה גם בסוריה. בהמשך לדיווחה של Lookout הודיעה גוגל כי איתרה מספר קורבנות במדינות אלה שנפגעו מהרוגלה.
על-פי הדוח של קבוצת TAG, הרמיט הופצה בעיקר באמצעות קישורים מזויפים שנשלחו למשתמשים והביאו אותם להוריד גרסאות מזויפות של אפליקציות פופולריות רבות, בהן רשתות חברתיות כגון פייסבוק ואינסטגרם לצד תוכנות מסרים פופולריות כגון וואטסאפ וטלגרם. במקרים אחרים, התוקפים הצליחו להפיץ את הרוגלה באמצעות התחזות לספקיות האינטרנט של המשתמשים. שיטת הפצה נוספת שתועדה השתמשה בתוכנית "Developer Enterprise" של אפל, שאפשרה לתוקפים לעקוף את מדיניות הבדיקה של האפסטור ובכך להפיץ את הרוגלה על מכשירים מבוססי iOS.
בהתאם לממצאים הודיעה גוגל כי היא עדכנה את כל הקורבנות שנפגעו כתוצאה מהפצת הרוגלה, ושחררה עדכון תוכנה ייעודי לסורק האפליקציות שלה, Google Play Protect, בשאיפה למגר ולצמצם את ההפצה של הרמיט. אפל הודיעה שהיא ביטלה את כל החשבונות ואת האישורים שניתנו לתוקפים.
