Hermit Mobile Malware

The Hermit Malware to wyrafinowane i modułowe zagrożenie mobilne. Jest przeznaczony do wykonywania wielu inwazyjnych działań na złamanych urządzeniach, ale jego główną funkcją jest spyware. Zagrożenie może pobierać różne uszkodzone moduły z serwera Command-and-Control (C2, C&C), w zależności od konkretnych celów atakujących. Zagrożenie może rejestrować połączenia, nagrywać dźwięk z otaczającego środowiska lub bezpośrednio z rozmowy telefonicznej, zbierać zdjęcia i wideo, czytać wiadomości SMS i e-mail, śledzić lokalizację zainfekowanego urządzenia i nie tylko. Malware Hermit może nawet rootować urządzenia z Androidem, aby uzyskać jeszcze szersze uprawnienia. Zagrożenie zostało rzekomo opracowane przez włoską firmę programistyczną o nazwie RCS Lab.

Post na blogu Google Threat Analysis Group (TAG) ujawnił szczegóły dotyczące groźnych kampanii skierowanych do użytkowników we Włoszech i Kazachstanie. Cyberprzestępcy wysyłali użytkownikom unikalne łącze prowadzące do uszkodzonej aplikacji, na którą mieli wpływ zarówno użytkownicy Androida, jak i iOS. Eksperci uważają, że w niektórych przypadkach atakujący współpracowali nawet z ISP (dostawcą usług internetowych) celów, aby wyłączyć ich mobilną łączność danych. Celem jest następnie wysłanie ofierze uszkodzonego łącza za pośrednictwem wiadomości SMS z informacją, że użytkownicy mogą odzyskać dostęp do Internetu, jeśli zainstalują aplikację. Alternatywnie, cyberprzestępcy mogą ukryć groźną aplikację jako klienta do przesyłania wiadomości.

Wersja Hermita na iOS wykorzystuje technikę znaną jako sideloading. Aplikacje przenoszące szkodliwe oprogramowanie są podpisywane certyfikatem programisty korporacyjnego, co pozwala im spełnić wszystkie wymagania dotyczące podpisywania kodu iOS. Ponadto w ramach infekcji wykorzystuje się sześć różnych luk w zabezpieczeniach, z których dwie to luki typu zero-day.