Hermitモバイルマルウェア
Googleの脅威分析グループは、Hermitモバイルマルウェアを活用した新しいキャンペーンに関する調査結果を公開しました。隠者は、以前は政府による使用に関連付けられていた重要なスパイ機能を備えたモバイルマルウェアの一部であり、カザフスタン政府に対する抑圧された抗議を受けて隠者を使用したカザフスタン政府の2022年4月にさかのぼる報告があります。
GoogleのTAGは現在、「商業監視ベンダー」によるHermitの使用を強調しており、以前は政府の支援と専門知識に関連付けられていたツールが急増しているため、インターネットは全体として「安全性の低い」スペースであると考えています。
Hermitを使用する新しいキャンペーンでは、ターゲットごとに固有のリンクを使用します。被害者がリンクを受け取ってタップすると、AndroidデバイスとiOSデバイスの両方に展開できる悪意のあるアプリをインストールするように求められます。
GoogleのTAGは、これらの攻撃でHermitを使用している脅威アクターが「ターゲットのISPと連携して」機能し、被害者のデバイスのモバイルデータを無効にしたと信じているとまで言っています。悪意のあるリンクを含むSMSは、失われたデータ接続を復元するアプリケーションが含まれていると主張しています。モバイルデータを無効にすることができず、ISPが関与していなかった場合、TAGは、悪意のあるアプリケーションはメッセージングアプリに扮したと述べています。
iOSバージョンは、「3-1MobileSRL」と呼ばれるエンティティからの証明書を使用します。この会社は、マルウェアのインストールを許可するApple DeveloperEnterpriseProgramに登録されています。
Hermitマルウェアは、音声録音、通話記録、メディア抽出、位置追跡モジュールなど、C2サーバーからさまざまなモジュールをダウンロードできます。