Hermit Mobile Malware

Hermit Malware è una minaccia mobile sofisticata e modulare. È progettato per eseguire numerose azioni invasive sui dispositivi violati, ma la sua funzionalità principale è quella di spyware. La minaccia può recuperare diversi moduli danneggiati dal server Command-and-Control (C2, C&C), a seconda degli obiettivi specifici degli aggressori. La minaccia può registrare chiamate, registrare audio dall'ambiente circostante o direttamente da una telefonata, raccogliere foto e video, leggere messaggi SMS ed e-mail, tracciare la posizione del dispositivo infetto e altro ancora. Il malware Hermit può persino eseguire il root dei dispositivi Android per ottenere privilegi ancora più ampi. La minaccia sarebbe stata sviluppata da una società di software italiana denominata RCS Lab.

Un post sul blog del Threat Analysis Group (TAG) di Google ha rivelato dettagli su campagne minacciose rivolte agli utenti in Italia e Kazakistan. I criminali informatici invieranno agli utenti un collegamento univoco che porta a un'applicazione danneggiata con un impatto sia sugli utenti Android che iOS. Gli esperti ritengono che in alcuni casi gli aggressori abbiano anche collaborato con l'ISP (Internet Service Provider) dei bersagli per disabilitare la loro connettività dati mobile. L'obiettivo è quindi inviare alla vittima un collegamento danneggiato tramite un messaggio SMS in cui si afferma che gli utenti potrebbero recuperare il proprio accesso a Internet se installano l'applicazione. In alternativa, i criminali informatici potrebbero mascherare l'applicazione minacciosa come client di messaggistica.

La versione iOS di Hermit abusa di una tecnica nota come sideloading. Le applicazioni che trasportano il malware sono firmate con un certificato di sviluppatore aziendale, che consente loro di soddisfare tutti i requisiti di firma del codice iOS. Inoltre, come parte dell'infezione vengono sfruttate sei diverse vulnerabilità, due delle quali zero-day.