Google เผย ผู้โจมตีทำงานร่วมกับ ISP เพื่อส่งสปายแวร์ Hermit ไปยังผู้ใช้มือถือ iOS และ Android

Google เผย สปายแวร์ Hermit กำลังได้รับความช่วยเหลือจากผู้ให้บริการอินเทอร์เน็ต (Internet Service Provider : ISP) เพื่อหลอกให้ผู้ใช้ดาวน์โหลดแอปพลิเคชันที่เป็นอันตราย ตามการวิจัยที่เผยแพร่โดยทีมรักษาความปลอดภัยจาก Google อย่าง Threat Analysis Group (TAG)

การกระจายของสปายแวร์ Hermit ถูกยืนยันการค้นพบก่อนหน้านี้จากกลุ่มวิจัยด้านความปลอดภัย Lookout ซึ่งข้อมูลแสดงความเชื่อมโยงของสปายแวร์ที่มีชื่อว่า Hermit กับ RCS Labs ผู้จำหน่ายสปายแวร์ในอิตาลี ทาง Lookout ได้ให้รายละเอียดว่า RCS Labs อยู่ในสายงานเดียวกันกับ NSO Group ซึ่งเป็นบริษัทเฝ้าระวังการจ้างผู้มีชื่อเสียงที่อยู่เบื้องหลังสปายแวร์ Pegasus และขายสปายแวร์เชิงพาณิชย์ให้กับหน่วยงานภาครัฐหลายแห่ง

นอกจากนี้ นักวิจัยจากกลุ่ม Lookout ยังเชื่อว่า สปายแวร์ Hermit ถูกนำไปใช้โดยรัฐบาลคาซัคสถานและทางการอิตาลีแล้ว และทาง Google ได้ระบุตัวตนของเหยื่อที่โดนสปายแวร์ตัวนี้ในทั้งสองประเทศ และจะแจ้งให้ผู้ใช้ที่ได้รับผลกระทบทราบต่อไป

ส่วนวิธีการแพร่กระจายสปายแวร์ Hermit นั้น ผู้โจมตีบางรายทำงานร่วมกับผู้ให้บริการอินเทอร์เน็ตมือถือ (Mobile Carrier) บางเจ้า ทำการปิดใช้งาน Mobile Data จากนั้น สปายแวร์เข้าถึงผู้ใช้ได้ผ่าน SMS หลอกให้ผู้ใช้ดาวน์โหลดข้อมูลเพื่อเปิดการใช้งาน Mobile Data อีกครั้ง แต่นั่นเป็นการอนุญาตให้สปายแวร์เข้าถึงอย่างง่ายดาย ซึ่งข้อมูลที่สปายแวร์ Hermit ต้องการ คือ

• ข้อมูลการโทรออก-รับสาย (Call Log)
• ข้อความ (Message)
• รูปภาพ (Photos)
• พิกัดที่อยู่ (Location)

แถมสปายแวร์ยังสามารถสั่งการโทรออก บันทึกเสียง และสกัดกั้นโทรออกโดยผู้ใช้ได้อีกด้วย จึงทำให้สปายแวร์ Hermit มีความอันตรายมาก ๆ เข้าถึงและควบคุมระบบปฏิบัติการหลักได้อย่างเต็มที่

หรืออีกวิธีหนึ่งคือ สปายแวร์ปลอมตัวเป็นแอปพลิเคชันแชท หรือแฝงสปายแวร์ไปกับแอปพลิเคชัน หากใครที่เผลอไปดาวน์โหลดแอปฯ เหล่านี้ ก็จะตกเป็นเหยื่อของสปายแวร์โดยปริยาย อย่างไรก็ตาม นักวิจัยจาก Lookout และทีมรักษาความปลอดภัยจาก Google ให้รายละเอียดตรงกันว่า แอปพลิเคชันที่มี Hermit ฝังอยู่ ไม่พบใน Google Play Store และ App Store แต่อย่างใด จึงมั่นใจได้ในความปลอดภัย หากผู้ใช้ดาวน์โหลดแอปพลิเคชันถูกวิธี

อย่างไรก็ตาม ยังมีอีกช่องทางหนึ่งที่สปายแวร์ Hermit เข้าถึงได้ก็คือ การลงทะเบียน Developer Enterprise Program ของ Apple เพื่อแพร่กระจายสปายแวร์ผ่านแอปพลิเคชัน iOS เพราะช่องทางนี้หลีกเลี่ยงกระบวนการตรวจสอบของ App Store ได้ แต่ทาง Apple ทำการเพิกถอนบัญชี ใบรับรองใด ๆ ที่เกี่ยวข้องกับอันตรายเหล่านี้ และทำการแจ้งให้ผู้ใช้ที่ได้รับผลกระทบเรียบร้อยแล้ว รวมถึงทาง Google ที่ส่งการอัปเดต Google Play Protect ให้ผู้ใช้งานทุกคนแล้วเช่นกัน