Logiciel malveillant mobile Hermit

Le groupe d'analyse des menaces de Google a publié ses conclusions sur une nouvelle campagne exploitant le malware mobile Hermit. Hermit est un logiciel malveillant mobile doté d'importantes capacités d'espionnage qui était auparavant associé à une utilisation par les gouvernements, avec des rapports remontant à avril 2022 selon lesquels le gouvernement du Kazakhstan aurait utilisé Hermit à la suite de manifestations réprimées contre le gouvernement du pays.

Le TAG de Google met désormais en évidence l'utilisation d'Hermit par les "fournisseurs commerciaux de surveillance" et pense qu'Internet est un espace "moins sûr" dans l'ensemble en raison de cette prolifération d'outils précédemment associés au soutien et à l'expertise du gouvernement.

Les nouvelles campagnes utilisant Hermit utilisent un lien unique pour chaque cible. Une fois que la victime reçoit le lien et l'appuie, elle est invitée à installer une application malveillante qui peut se déployer sur les appareils Android et iOS.

Le TAG de Google est allé jusqu'à dire qu'il pense que l'acteur menaçant utilisant Hermit dans ces attaques a travaillé "avec le FAI de la cible" et a désactivé les données mobiles de l'appareil victime. Le SMS avec le lien malveillant prétend qu'il contient une application qui restaurera la connectivité des données perdues. Dans les cas où la désactivation des données mobiles n'était pas possible et que le FAI n'était pas impliqué, déclare TAG, les applications malveillantes étaient déguisées en applications de messagerie.

La version iOS utilise un certificat d'une entité appelée "3-1 Mobile SRL". Cette société est enregistrée dans le cadre du programme Apple Developer Enterprise, qui permet l'installation du logiciel malveillant.

Le logiciel malveillant Hermit peut télécharger différents modules à partir de ses serveurs C2, notamment des modules d'enregistrement audio, de journalisation des appels, d'exfiltration de médias et de localisation.