Hermit Mobile Malware

A Hermit Malware egy kifinomult és moduláris mobil fenyegetés. Úgy tervezték, hogy számos invazív műveletet hajtson végre a feltört eszközökön, de fő funkciója a kémprogram. A fenyegetés különböző sérült modulokat tud letölteni a Command-and-Control (C2, C&C) szerveréről, a támadók konkrét céljaitól függően. A fenyegetés naplózhatja a hívásokat, hangot rögzíthet a környező környezetből vagy közvetlenül egy telefonhívásból, fényképeket és videókat gyűjthet össze, SMS-eket és e-maileket olvashat, nyomon követheti a fertőzött eszköz helyét és még sok mást. A Hermit kártevő még az Android-eszközöket is rootolni tudja, hogy még szélesebb jogosultságokat szerezzen. A fenyegetést állítólag az RCS Lab nevű olasz szoftvercég fejlesztette ki.

A Google Threat Analysis Group (TAG) blogbejegyzése részleteket tárt fel az olaszországi és kazahsztáni felhasználókat megcélzó fenyegető kampányokról. A kiberbűnözők egyedi linket küldenek a felhasználóknak, amely egy sérült alkalmazáshoz vezet, amely mind az Android, mind az iOS felhasználókat érinti. A szakértők úgy vélik, hogy bizonyos esetekben a támadók még a célpontok ISP-jével (Internet Service Provider) is együttműködtek, hogy letiltsák mobil adatkapcsolatukat. A cél az, hogy az áldozatnak egy sérült linket küldjenek SMS-ben, amely azt állítja, hogy a felhasználók visszaszerezhetik internet-hozzáférésüket, ha telepítik az alkalmazást. Alternatív megoldásként a kiberbűnözők üzenetküldő kliensnek álcázhatják a fenyegető alkalmazást.

A Hermit iOS-verziója visszaél a sideloading néven ismert technikával. A kártevőt hordozó alkalmazások vállalati fejlesztői tanúsítvánnyal vannak aláírva, ami lehetővé teszi, hogy megfeleljenek az iOS kód aláírási követelményeinek. Ezen kívül hat különböző sebezhetőséget – amelyek közül kettő nulladik napi – használnak a fertőzés részeként.