Hermit mobiele malware

De Threat Analysis Group van Google publiceerde hun bevindingen over een nieuwe campagne die gebruikmaakt van de Hermit mobiele malware. Hermit is een stukje mobiele malware met aanzienlijke spionagemogelijkheden die voorheen werd geassocieerd met gebruik door regeringen, met rapporten uit april 2022 dat de regering van Kazachstan Hermit gebruikte in de nasleep van onderdrukte protesten tegen de regering van het land.

Google's TAG benadrukt nu het gebruik van Hermit door "commerciële bewakingsleveranciers", en denkt dat internet over het algemeen een "minder veilige" ruimte is vanwege deze wildgroei aan tools die voorheen in verband werden gebracht met overheidssteun en expertise.

De nieuwe campagnes met Hermit gebruiken een link die uniek is voor elk doel. Zodra het slachtoffer de link ontvangt en erop tikt, wordt hem gevraagd een kwaadaardige app te installeren die op zowel Android- als iOS-apparaten kan worden geïmplementeerd.

Google's TAG ging zelfs zo ver om te zeggen dat ze geloofden dat de dreigingsactor die Hermit bij die aanvallen gebruikte "met de ISP van het doelwit" werkte en de mobiele data van het slachtoffer had uitgeschakeld. De sms met de kwaadaardige link beweert dat deze een applicatie bevat die de verloren gegevensverbinding zal herstellen. In de gevallen waarin het uitschakelen van mobiele data niet mogelijk was en de ISP er niet bij betrokken was, stelt TAG, waren de kwaadaardige applicaties verkleed als berichten-apps.

De iOS-versie gebruikt een certificaat van een entiteit genaamd "3-1 Mobile SRL". Dit bedrijf is geregistreerd onder het Apple Developer Enterprise Program, waarmee de malware kan worden geïnstalleerd.

De Hermit-malware kan verschillende modules downloaden van zijn C2-servers, waaronder audio-opname, oproepregistratie, media-exfiltratie en modules voor het volgen van locaties.