Hermit Mobile Malware

Googles Threat Analysis Group offentliggjorde deres resultater om en ny kampagne, der udnytter Hermit mobile malware. Eremit er et stykke mobil malware med betydelige spionagemuligheder, som tidligere var forbundet med brug af regeringer, med rapporter, der går tilbage til april 2022 om, at Kasakhstans regering bruger Eremit i kølvandet på undertrykte protester mod landets regering.

Googles TAG fremhæver nu Hermits brug af "kommercielle overvågningsleverandører", og mener, at internettet generelt er et "mindre sikkert" rum på grund af denne spredning af værktøjer, der tidligere var forbundet med regeringens opbakning og ekspertise.

De nye kampagner, der bruger Hermit, bruger et link, der er unikt for hvert mål. Når offeret modtager linket og trykker på det, bliver de bedt om at installere en ondsindet app, der kan implementeres på både Android- og iOS-enheder.

Googles TAG gik så langt som til at sige, at de mener, at trusselsaktøren, der brugte Hermit i disse angreb, arbejdede "sammen med målets internetudbyder" og deaktiverede offerenhedens mobildata. SMS'en med det ondsindede link hævder, at den indeholder et program, der vil genoprette den tabte dataforbindelse. I de tilfælde, hvor det ikke var muligt at deaktivere mobildata, og internetudbyderen ikke var involveret, oplyser TAG, var de ondsindede applikationer klædt ud som beskedapps.

iOS-versionen bruger et certifikat fra en enhed kaldet "3-1 Mobile SRL". Denne virksomhed er registreret under Apple Developer Enterprise Program, som tillader malwaren at installere.

Hermit-malwaren kan downloade forskellige moduler fra sine C2-servere, herunder lydoptagelse, opkaldslogning, medieeksfiltrering og lokationssporingsmoduler.