Mobilne złośliwe oprogramowanie pustelnika

Grupa Analizy Zagrożeń Google opublikowała wyniki nowej kampanii wykorzystującej mobilne złośliwe oprogramowanie Hermit. Hermit to mobilne złośliwe oprogramowanie o znaczących możliwościach szpiegowania, które było wcześniej kojarzone z używaniem przez rządy, z raportami sięgającymi kwietnia 2022 r., kiedy rząd Kazachstanu używał Hermita w następstwie tłumionych protestów przeciwko rządowi tego kraju.

Google TAG podkreśla teraz wykorzystanie Hermita przez „komercyjnych dostawców usług nadzoru” i uważa, że Internet jest ogólnie „mniej bezpieczną” przestrzenią z powodu mnożenia się narzędzi, które wcześniej były kojarzone ze wsparciem i wiedzą rządową.

Nowe kampanie wykorzystujące Hermit wykorzystują link, który jest unikalny dla każdego celu. Gdy ofiara otrzyma łącze i kliknie go, zostanie poproszona o zainstalowanie złośliwej aplikacji, która może zostać wdrożona zarówno na urządzeniach z systemem Android, jak i iOS.

Google TAG posunął się nawet do stwierdzenia, że wierzy, że cyberprzestępca wykorzystujący Hermita w tych atakach działał „z dostawcą usług internetowych celu” i wyłączył dane mobilne urządzenia ofiary. SMS ze złośliwym linkiem twierdzi, że zawiera aplikację, która przywróci utracone połączenie danych. TAG twierdzi, że w przypadkach, w których wyłączenie danych mobilnych nie było możliwe, a dostawca usług internetowych nie był zaangażowany, złośliwe aplikacje były przebrane za aplikacje do przesyłania wiadomości.

Wersja iOS korzysta z certyfikatu podmiotu o nazwie „3-1 Mobile SRL”. Ta firma jest zarejestrowana w programie Apple Developer Enterprise Program, który umożliwia instalację złośliwego oprogramowania.

Szkodnik Hermit może pobierać różne moduły ze swoich serwerów C2, w tym moduły nagrywania dźwięku, rejestrowania połączeń, eksfiltracji mediów i śledzenia lokalizacji.