Google’ın Tehdit Analizi Grubu (TAG) tarafından yayınlanan araştırmaya göre, gelişmiş bir casus yazılım kampanyası, kullanıcıları kötü amaçlı uygulamaları indirmeleri için internet servis sağlayıcılarını kullanıyor. Hermit adlı casus yazılımı İtalyan casus yazılım şirketi RCS Labs ile ilişkilendirilmiş durumda.

Casus yazılım bazı devletler tarafından da destekleniyor

Güvenlik araştırma grubu Lookout daha önceki bulgularında bu durumu ortaya koymuştu. Lookout, RCS Labs’ın Pegasus casus yazılımlarının arkasındaki kötü şöhretli şirket NSO Group ile aynı iş kolunda olduğunu ve çeşitli devlet kurumlarına ticari casus yazılım sattığını iddia ediyordu.

Lookout’taki araştırmacılar, Hermit’in Kazakistan hükümeti ve İtalyan makamları tarafından hali hazırda kullanıldığına inanıyor. Bu bulgular doğrultusunda Google, her iki ülkede de mağdurları tespit etmiş durumda. Şirket aynı zamanda etkilenen kullanıcıları bilgilendireceğini söyledi.

Casus yazılım, kendisini meşru bir kaynak olarak gizlemekte oldukça başarılı. Genellikle bir mobil operatör veya mesajlaşma uygulaması şeklini alan uygulama hem Android‘e hem de iPhone‘lara bulaşabiliyor. Google’ın siber güvenlik araştırmacıları, bazı saldırganların, planlarını ilerletmek için kurbanın mobil verilerini kapatmak amacıyla internet servis sağlayıcısı gibi çalıştıklarını ortaya koydu.

Casus yazılımcılar daha sonra SMS üzerinden kurbanın mobil operatörü gibi davranarak internet bağlantılarını yeniden kurmaları için kendi programlarını indirmeleri yönünde talimat veriyor. Saldırganlar diğer taraftan, korsan yazılımlarını mesajlaşma uygulamaları gibi göstererek de telefonlara ulaşmayı başarıyor.

Lookout ve TAG araştırmacıları, Hermit içeren uygulamaların hiçbir zaman Google Play veya Apple App Store üzerinden kullanıma sunulmadığını söylüyor. Ancak saldırganlar, Apple’ın Developer Enterprise Programına kaydolarak virüslü uygulamalarını iOS‘ta dağıtabildikleri ortaya çıktı.

Böylece casus yazılım, App Store‘un standart inceleme sürecini atlatıp, ‘bir iOS cihazındaki tüm iOS kod imzalama gereksinimlerini karşılayan’ bir sertifika alabildiği belirlendi. Apple bu gelişmelerin ardından bu yazılımla ilgili tüm hesap ve sertifikaları iptal ettiğini duyurdu.