Hermit Mobile Malware

A Google Fenyegetéselemző Csoportja közzétette eredményeit egy új kampányról, amely a Hermit mobil rosszindulatú programját hasznosítja. A Hermit egy jelentős kémkedési képességekkel rendelkező mobil rosszindulatú program, amelyet korábban a kormányok általi használathoz társítottak, és 2022 áprilisáig nyúlnak vissza a jelentések arról, hogy a kazah kormány az ország kormánya elleni tiltakozások nyomán használta a Hermit-et.

A Google TAG most rávilágít arra, hogy a Hermit „kereskedelmi felügyeleti szolgáltatók” használják, és úgy gondolja, hogy az internet összességében „kevésbé biztonságos” terep, mivel a korábban kormányzati támogatáshoz és szakértelemhez kapcsolódó eszközök elterjedése miatt.

A Hermitet használó új kampányok minden célponthoz egyedi hivatkozást használnak. Miután az áldozat megkapta a linket, és megérinti azt, a rendszer felkéri egy rosszindulatú alkalmazás telepítésére, amely Android és iOS eszközökön egyaránt telepíthető.

A Google TAG odáig ment, hogy szerintük a Hermit-et használó fenyegetés szereplője „a célpont internetszolgáltatójával” működött együtt, és letiltotta az áldozat eszközének mobiladatait. A rosszindulatú hivatkozást tartalmazó SMS azt állítja, hogy olyan alkalmazást tartalmaz, amely helyreállítja az elveszett adatkapcsolatot. Azokban az esetekben, amikor a mobiladatok letiltása nem volt lehetséges, és az internetszolgáltató nem vett részt, a TAG szerint a rosszindulatú alkalmazásokat üzenetküldő alkalmazásoknak öltöztették.

Az iOS verzió a „3-1 Mobile SRL” nevű entitás tanúsítványát használja. Ez a cég az Apple Developer Enterprise Programba van bejegyezve, amely lehetővé teszi a rosszindulatú programok telepítését.

A Hermit malware különböző modulokat tud letölteni a C2 szervereiről, beleértve a hangrögzítést, a hívásnaplózást, a média kiszűrését és a helykövető modulokat.