Hermit mobil skadelig programvare

Googles Threat Analysis Group publiserte funnene sine om en ny kampanje som utnytter Hermit mobile malware. Hermit er et stykke mobil malware med betydelige spioneringsevner som tidligere var assosiert med bruk av regjeringer, med rapporter som dateres tilbake til april 2022 om at Kasakhstans regjering bruker Hermit i kjølvannet av undertrykte protester mot landets regjering.

Googles TAG fremhever nå Hermits bruk av "kommersielle overvåkingsleverandører", og mener internett er et "mindre trygt" område totalt sett på grunn av denne spredningen av verktøy som tidligere var knyttet til statlig støtte og ekspertise.

De nye kampanjene som bruker Hermit bruker en lenke som er unik for hvert mål. Når offeret mottar koblingen og trykker på den, blir de bedt om å installere en ondsinnet app som kan distribueres på både Android- og iOS-enheter.

Googles TAG gikk så langt som å si at de tror trusselaktøren som brukte Hermit i disse angrepene jobbet «med målets ISP» og deaktiverte offerets mobildata. SMS-en med den ondsinnede koblingen hevder at den inneholder et program som vil gjenopprette den tapte datatilkoblingen. I de tilfellene hvor det ikke var mulig å deaktivere mobildata og Internett-leverandøren ikke var involvert, opplyser TAG, ble de ondsinnede applikasjonene kledd ut som meldingsapper.

iOS-versjonen bruker et sertifikat fra en enhet kalt "3-1 Mobile SRL". Dette selskapet er registrert under Apple Developer Enterprise Program, som lar skadevare installeres.

Hermit malware kan laste ned forskjellige moduler fra sine C2-servere, inkludert lydopptak, samtalelogging, medieeksfiltrering og plasseringssporingsmoduler.