„Hermit Mobile“ kenkėjiška programa

„Google“ grėsmių analizės grupė paskelbė savo išvadas apie naują kampaniją, naudojančią „Hermit“ mobiliąją kenkėjišką programą. „Hermit“ yra mobiliųjų kenkėjiškų programų dalis, turinti reikšmingų šnipinėjimo galimybių, kuri anksčiau buvo siejama su vyriausybių naudojimu, o 2022 m. balandžio mėn. buvo pranešta, kad Kazachstano vyriausybė naudojo „Ermitą“ po nuslopintų protestų prieš šalies vyriausybę.

„Google“ TAG dabar pabrėžia, kaip „Hermit“ naudoja „komercinės priežiūros pardavėjai“, ir mano, kad internetas apskritai yra „mažiau saugi“ erdvė dėl daugybės įrankių, anksčiau susijusių su vyriausybės parama ir patirtimi.

Naujose kampanijose, kuriose naudojama „Hermit“, naudojama nuoroda, kuri yra unikali kiekvienam tikslui. Kai auka gauna nuorodą ir ją paliečia, ji paraginama įdiegti kenkėjišką programą, kuri gali būti įdiegta tiek Android, tiek iOS įrenginiuose.

„Google“ TAG nuėjo taip toli, kad tiki, kad grėsmės veikėjas, naudojęs „Hermit“ tose atakose, dirbo „su taikinio IPT“ ir išjungė aukos įrenginio mobiliuosius duomenis. SMS su kenkėjiška nuoroda teigiama, kad joje yra programa, kuri atkurs prarastą duomenų ryšį. Tais atvejais, kai nebuvo įmanoma išjungti mobiliųjų duomenų ir nedalyvavo IPT, teigia TAG, kenkėjiškos programos buvo perrengtos kaip pranešimų programėlės.

„iOS“ versija naudoja sertifikatą iš subjekto, vadinamo „3-1 Mobile SRL“. Ši įmonė yra registruota pagal Apple Developer Enterprise Program, kuri leidžia įdiegti kenkėjiškas programas.

„Hermit“ kenkėjiška programa iš savo C2 serverių gali atsisiųsti skirtingus modulius, įskaitant garso įrašymo, skambučių registravimo, žiniasklaidos išfiltravimo ir vietos stebėjimo modulius.