Отшельник Мобильное вредоносное ПО

Группа анализа угроз Google опубликовала свои выводы о новой кампании, использующей мобильное вредоносное ПО Hermit. Hermit — это мобильное вредоносное ПО со значительными шпионскими возможностями, которое ранее ассоциировалось с использованием правительствами. В апреле 2022 года правительство Казахстана сообщило об использовании Hermit после подавления протестов против правительства страны.

TAG от Google теперь подчеркивает использование Hermit «коммерческими поставщиками систем видеонаблюдения» и считает, что Интернет в целом является «менее безопасным» пространством из-за этого распространения инструментов, ранее связанных с государственной поддержкой и опытом.

В новых кампаниях с использованием Hermit используется ссылка, уникальная для каждой цели. Как только жертва получает ссылку и нажимает на нее, ей предлагается установить вредоносное приложение, которое можно развернуть на устройствах Android и iOS.

TAG Google зашел так далеко, что заявил, что, по их мнению, злоумышленник, использовавший Hermit в этих атаках, работал «с интернет-провайдером цели» и отключил мобильные данные на устройстве жертвы. В SMS-сообщении с вредоносной ссылкой утверждается, что оно содержит приложение, которое восстановит потерянное подключение к данным. По словам TAG, в тех случаях, когда отключение мобильных данных было невозможно и интернет-провайдер не участвовал, вредоносные приложения были одеты как приложения для обмена сообщениями.

В версии для iOS используется сертификат организации под названием «3-1 Mobile SRL». Эта компания зарегистрирована в рамках программы Apple Developer Enterprise, что позволяет устанавливать вредоносное ПО.

Вредоносная программа Hermit может загружать различные модули со своих C2-серверов, включая модули аудиозаписи, регистрации вызовов, эксфильтрации мультимедиа и отслеживания местоположения.