Malware móvil ermitaño
El Grupo de análisis de amenazas de Google publicó sus hallazgos sobre una nueva campaña que aprovecha el malware móvil Hermit. Hermit es una pieza de malware móvil con importantes capacidades de espionaje que anteriormente se asoció con el uso por parte de los gobiernos, con informes que datan de abril de 2022 de que el gobierno de Kazajstán usó Hermit a raíz de las protestas reprimidas contra el gobierno del país.
El TAG de Google ahora destaca el uso de Hermit por parte de "proveedores de vigilancia comercial" y cree que Internet es un espacio "menos seguro" en general debido a esta proliferación de herramientas asociadas anteriormente con el respaldo y la experiencia del gobierno.
Las nuevas campañas que usan Hermit usan un enlace que es único para cada objetivo. Una vez que la víctima recibe el enlace y lo presiona, se le solicita que instale una aplicación maliciosa que puede implementarse en dispositivos Android e iOS.
El TAG de Google llegó a decir que creen que el actor de amenazas que usó Hermit en esos ataques trabajó "con el ISP del objetivo" y deshabilitó los datos móviles del dispositivo de la víctima. El SMS con el enlace malicioso afirma que contiene una aplicación que restaurará la conectividad de datos perdida. En los casos en los que no fue posible deshabilitar los datos móviles y el ISP no estuvo involucrado, afirma TAG, las aplicaciones maliciosas se disfrazaron como aplicaciones de mensajería.
La versión de iOS utiliza un certificado de una entidad llamada "3-1 Mobile SRL". Esta empresa está registrada en el Programa Apple Developer Enterprise, que permite la instalación del malware.
El malware Hermit puede descargar diferentes módulos de sus servidores C2, incluida la grabación de audio, el registro de llamadas, la exfiltración de medios y los módulos de seguimiento de ubicación.