Mobile Hermit-Malware

Die Threat Analysis Group von Google veröffentlichte ihre Ergebnisse zu einer neuen Kampagne, die die mobile Malware Hermit nutzt. Hermit ist eine mobile Malware mit erheblichen Spionagefähigkeiten, die zuvor mit der Verwendung durch Regierungen in Verbindung gebracht wurde, mit Berichten aus dem April 2022 über die Verwendung von Hermit durch die kasachische Regierung nach unterdrückten Protesten gegen die Regierung des Landes.

Googles TAG hebt nun die Nutzung von Hermit durch „kommerzielle Überwachungsanbieter“ hervor und ist der Ansicht, dass das Internet insgesamt ein „weniger sicherer“ Raum ist, aufgrund dieser Verbreitung von Tools, die zuvor mit staatlicher Unterstützung und Expertise in Verbindung gebracht wurden.

Die neuen Kampagnen mit Hermit verwenden einen Link, der für jedes Ziel einzigartig ist. Sobald das Opfer den Link erhält und darauf tippt, wird es aufgefordert, eine schädliche App zu installieren, die sowohl auf Android- als auch auf iOS-Geräten bereitgestellt werden kann.

Googles TAG ging so weit zu sagen, dass sie glauben, dass der Bedrohungsakteur, der Hermit bei diesen Angriffen verwendet, „mit dem ISP des Ziels“ zusammengearbeitet und die mobilen Daten des Opfergeräts deaktiviert hat. Die SMS mit dem bösartigen Link behauptet, dass sie eine Anwendung enthält, die die verlorene Datenverbindung wiederherstellt. In den Fällen, in denen das Deaktivieren mobiler Daten nicht möglich war und der ISP nicht beteiligt war, wurden die schädlichen Anwendungen laut TAG als Messaging-Apps getarnt.

Die iOS-Version verwendet ein Zertifikat von einer Entität namens „3-1 Mobile SRL“. Dieses Unternehmen ist beim Apple Developer Enterprise Program registriert, das die Installation der Malware ermöglicht.

Die Hermit-Malware kann verschiedene Module von ihren C2-Servern herunterladen, darunter Audioaufzeichnung, Anrufprotokollierung, Medien-Exfiltration und Standortverfolgungsmodule.