Hermit Mobile Malware

O Hermit Malware é uma ameaça móvel sofisticada e modular. Ele foi projetado para executar inúmeras ações invasivas nos dispositivos violados, mas sua principal funcionalidade é a de spyware. A ameaça pode buscar diferentes módulos corrompidos de seu servidor de Comando e Controle (C2, C&C), dependendo dos objetivos específicos dos invasores. A ameaça pode registrar chamadas, gravar áudio do ambiente ao redor ou diretamente de uma chamada telefônica, coletar fotos e vídeos, ler mensagens SMS e e-mail, rastrear a localização do dispositivo infectado e muito mais. O malware Hermit pode até fazer root em dispositivos Android para obter privilégios ainda mais amplos. A ameaça é supostamente desenvolvida por uma empresa de software italiana chamada RCS Lab.

Uma postagem no blog do Threat Analysis Group (TAG) do Google revelou detalhes sobre campanhas ameaçadoras direcionadas a usuários na Itália e no Cazaquistão. Os cibercriminosos enviariam aos usuários um link exclusivo que levava a um aplicativo corrompido com os usuários do Android e iOS sendo afetados. Os especialistas acreditam que, em alguns casos, os invasores até trabalharam com o ISP (Internet Service Provider) dos alvos para desativar sua conectividade de dados móveis. O objetivo é enviar à vítima um link corrompido por meio de uma mensagem SMS alegando que os usuários podem recuperar seu acesso à Internet se instalarem o aplicativo. Como alternativa, os cibercriminosos podem disfarçar o aplicativo ameaçador como um cliente de mensagens.

A versão iOS do Hermit abusa de uma técnica conhecida como sideload. Os aplicativos que carregam o malware são assinados com um certificado de desenvolvedor corporativo, permitindo que eles atendam a todos os requisitos de assinatura de código do iOS. Além disso, seis vulnerabilidades diferentes, duas das quais são de dia zero, são aproveitadas como parte da infecção.