Το Google Calendar είναι μια από τις εφαρμογές που η Google ενσωματώνει στο Android. Τώρα έχει γίνει στόχος από hackers, που ανακάλυψαν τρόπο για να πάρουν τον πλήρη έλεγχο της συσκευής μας. Προγραμματιστές κακόβουλου λογισμικού, έχουν δημιουργήσει μια νέα μέθοδο, ώστε να εκμεταλλευτούν το κενό ασφαλείας. Μάλιστα, ένα proof of concept έχει δημοσιευθεί ήδη στο GitHub και κυκλοφορεί ήδη σε όλα τα forums για hacking. Η Google γνωρίζει για το exploit και έχει ήδη εκδώσει ανακοίνωση για τους πιθανούς κινδύνους.
Ο MrSaighnal, χρήστης του Github και μέλος μιας ιταλικής κολεκτίβας hackers, έδωσε αυτή την ευπάθεια στο κοινό, δημοσιεύοντας ένα repository με την ονομασία “GCR Google Calendar RAT” τον Ιούνιο του 2023. Το RAT είναι τα αρχικά του Remote Access Trojan και είναι ένα κακόβουλο λογισμικό που επιτρέπει στον επιτιθέμενο να πάρει τον έλεγχο της συσκευής του θύματος.
Η περιγραφή του repository αναφέρει:
“Το Google Calendar RAT είναι ένα PoC Command&Control (C2) πάνω από τα events του Ημερολογίου Google. Αυτό το εργαλείο έχει αναπτυχθεί για εκείνες τις περιπτώσεις όπου είναι δύσκολο να δημιουργηθεί υποδομή για ομάδα επιτιθέμενων. Για να χρησιμοποιήσετε το GRC, απαιτείται μόνο λογαριασμός Gmail. Το σενάριο δημιουργεί ένα «Κρυφό κανάλι» αξιοποιώντας τις περιγραφές συμβάντων στο Ημερολόγιο Google. Ο στόχος θα συνδεθεί απευθείας με την Google.” Η επίθεση είναι Layer 7 που ανήκει στο application layer.
Το script εκμεταλλεύεται τα events του Google Calendar για να δημιουργήσει ένα covert channel, που συνδέεται απευθείας με τους servers της Google. Αν και η Google δεν έχει παρατηρήσει χρήση του script μέχρι στιγμής, αναγνωρίζει πως είναι σοβαρή απειλή, σύμφωνα με την έκθεση ασφαλείας του τρίτου τριμήνου 2023. Threat Horizons.
Αυτό που είναι τρομακτικό με αυτό το script, είναι πως κάνει χρήση της επίσημης υποδομής της Google, για να δημιουργήσει ένα C2 δίκτυο. Αυτού του τύπου δικτύων, έχουν σαν βασικό στοιχείο την δημιουργία κρυφών καναλιών. Έτσι, το script, χρησιμοποιεί τα events του calendar, για να δημιουργήσει αυτά C2 δίκτυα, παραχωρώντας τον πλήρη έλεγχο της συσκευής στον hacker.
Το ότι η Google το αναφέρει στην αναφορά του τριμήνου, δείχνει πως τα πράγματα είναι σοβαρά. Πιθανότατα με το Google Calendar RAT να έχουμε την έναρξη ενός νέου είδους επιθέσεων, που δεν κλέβουν απλά δεδομένα, αλλά παραχωρούν τον πλήρη έλεγχο της συσκευής μας. Αν η εφαρμογή είναι εγκατεστημένη σε δισεκατομμύρια συσκευές από προεπιλογή, καταλαβαίνετε πως κάθε συσκευή είναι πιθανός στόχος.
Πάντως η περιγραφή του repository αναφέρει:
“ΕΙΝΑΙ ΑΠΛΩΣ ΕΝΑ POC ΣΤΗΝ PYTHON, ΠΑΡΑΚΑΛΩ ΜΗ ΜΕ ΡΩΤΗΣΕΤΕ ΠΩΣ ΝΑ ΤΟ ΟΠΛΟΠΟΙΗΣΩ!”
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
