Hermit mobiele malware

De Hermit Malware is een geavanceerde en modulaire mobiele bedreiging. Het is ontworpen om talloze invasieve acties uit te voeren op de geschonden apparaten, maar de belangrijkste functionaliteit is die van spyware. De dreiging kan verschillende beschadigde modules ophalen van zijn Command-and-Control (C2, C&C)-server, afhankelijk van de specifieke doelen van de aanvallers. De dreiging kan oproepen loggen, audio opnemen uit de omgeving of rechtstreeks van een telefoongesprek, foto's en video oogsten, sms-berichten en e-mail lezen, de locatie van het geïnfecteerde apparaat volgen en meer. De Hermit-malware kan zelfs Android-apparaten rooten om nog bredere privileges te verkrijgen. De dreiging zou zijn ontwikkeld door een Italiaans softwarebedrijf genaamd RCS Lab.

Een blogpost van Google's Threat Analysis Group (TAG) onthulde details over bedreigende campagnes die gericht waren op gebruikers in Italië en Kazachstan. De cybercriminelen zouden gebruikers een unieke link sturen die leidt naar een beschadigde applicatie waarbij zowel Android- als iOS-gebruikers worden getroffen. De experts denken dat de aanvallers in sommige gevallen zelfs samenwerkten met de ISP (Internet Service Provider) van de doelwitten om hun mobiele dataverbinding uit te schakelen. Het doel is om het slachtoffer vervolgens een beschadigde link te sturen via een sms-bericht waarin wordt beweerd dat gebruikers hun internettoegang kunnen herstellen als ze de applicatie installeren. Als alternatief kunnen cybercriminelen de bedreigende applicatie vermommen als een berichtenclient.

De iOS-versie van Hermit misbruikt een techniek die bekend staat als sideloading. De applicaties die de malware bevatten, zijn ondertekend met een enterprise-ontwikkelaarscertificaat, waardoor ze kunnen voldoen aan alle vereisten voor het ondertekenen van iOS-codes. Daarnaast worden zes verschillende kwetsbaarheden, waarvan twee zero-day-kwetsbaarheden, gebruikt als onderdeel van de infectie.