Hermit mobil skadlig programvara

Googles Threat Analysis Group publicerade sina resultat om en ny kampanj som utnyttjar Hermits mobilskadaprogram. Eremit är ett stycke mobil skadlig programvara med betydande spionfunktioner som tidigare var förknippad med användning av regeringar, med rapporter som går tillbaka till april 2022 om att Kazakstans regering använder Eremit i kölvattnet av undertryckta protester mot landets regering.

Googles TAG lyfter nu fram Hermits användning av "kommersiella övervakningsleverantörer", och tror att Internet är ett "mindre säkert" utrymme överlag på grund av denna spridning av verktyg som tidigare förknippades med statligt stöd och expertis.

De nya kampanjerna som använder Hermit använder en länk som är unik för varje mål. När offret tar emot länken och trycker på den uppmanas de att installera en skadlig app som kan distribueras på både Android- och iOS-enheter.

Googles TAG gick så långt som att säga att de tror att hotaktören som använde Hermit i dessa attacker fungerade "med målets ISP" och inaktiverade offrets mobildata. SMSet med den skadliga länken hävdar att det innehåller en applikation som kommer att återställa den förlorade dataanslutningen. I de fall där det inte var möjligt att inaktivera mobildata och internetleverantören inte var inblandad, uppger TAG, att de skadliga applikationerna kläddes ut som meddelandeappar.

iOS-versionen använder ett certifikat från en enhet som heter "3-1 Mobile SRL". Det här företaget är registrerat under Apple Developer Enterprise Program, som tillåter att skadlig programvara installeras.

Skadlig programvara Hermit kan ladda ner olika moduler från sina C2-servrar, inklusive ljudinspelning, samtalsloggning, medieexfiltrering och platsspårningsmoduler.