تحذر Google من حملة برامج تجسس جديدة معقدة شهدت جهات خبيثة تسرق بيانات حساسة من مستخدمي Android وiOS في إيطاليا وكازاخستان الخميس الماضى، وشاركت مجموعة تحليل التهديدات (TAG) التابعة للشركة النتائج التي توصلت إليها بشأن RCS Labs، وهي شركة تجارية لبرامج التجسس مقرها فى إيطاليا.

وفى 16 يونيو، ربط باحثون أمنيون في Lookout الشركة بـ Hermit ، وهو برنامج تجسس يعتقد أنه تم نشره لأول مرة في عام 2019 من قبل السلطات الإيطالية كجزء من عملية لمكافحة الفساد، ويصف Lookout مختبرات RCS ككيان يشبه مجموعة NSO.

وتقوم الشركة بتسويق نفسها على أنها شركة "اعتراض قانونية" وتدعي أنها تعمل فقط مع الوكالات الحكومية، ومع ذلك فقد تعرض بائعو برامج التجسس التجارية لتدقيق مكثف فى السنوات الأخيرة، ويرجع الفضل فى ذلك إلى حد كبير إلى الحكومات التي تستخدم برامج التجسس Pegasus لاستهداف النشطاء والصحفيين.

ووفقًا لـ Google، يمكن لـ Hermit إصابة كل من أجهزة Android و iOS، وفى بعض الحالات لاحظ باحثو الشركة أن الجهات الفاعلة الخبيثة تعمل مع مزود خدمة الإنترنت المستهدف لتعطيل اتصال البيانات الخاص بهم ثم يرسلون إلى الهدف رسالة نصية قصيرة مع مطالبة بتنزيل البرنامج المرتبط لاستعادة اتصالهم بالإنترنت، وإذا لم يكن ذلك متاحًا  فقد حاول الفاعلون السيئون إخفاء برنامج التجسس كتطبيق مراسلة شرعي مثل WhatsApp أو Instagram.

ما يجعل Hermit خطيرًا بشكل خاص هو أنه يمكن أن يكتسب قدرات إضافية عن طريق تنزيل وحدات من خادم القيادة والتحكم، وسمحت بعض الوظائف الإضافية التي لاحظها Lookout للبرنامج بسرقة البيانات من تقويم الهدف وتطبيقات دفتر العناوين، وكذلك التقاط الصور بكاميرا هواتفهم. حتى أن وحدة واحدة أعطت برنامج التجسس القدرة على الوصول إلى جهاز Android

وتعتقد Google أن Hermit لم يشق طريقه أبدًا إلى متجر Play أو App، ومع ذلك، وجدت الشركة دليلًا على أن الجهات الفاعلة السيئة كانت قادرة على توزيع برامج التجسس على نظام التشغيل iOS من خلال التسجيل في برنامج Developer Enterprise Program من Apple، وأخبرت Apple موقع The Verge أنها قامت منذ ذلك الحين بحظر أي حسابات أو شهادات مرتبطة بالتهديد، وفى الوقت نفسه  أخطرت Google المستخدمين المتأثرين وأصدرت تحديثًا لـ Google Play Protect.