Forscher entdecken „Hermit“-Android-Spyware, die in Kasachstan, Syrien und Italien eingesetzt wird

  • Eine unternehmenstaugliche Überwachungssoftware mit dem Namen Hermit wurde seit 2019 von Organisationen eingesetzt, die von Kasachstan, Syrien und Italien aus operieren, wie neue Untersuchungen ergeben haben.

    Lookout schreibt die Spionagesoftware, die sowohl auf Android als auch auf iOS abzielt, einem italienischen Unternehmen namens RCS Lab S.p.A. und Tykelab Srl, einem Telekommunikationsdienstleister, zu, von dem es vermutet, dass er eine Scheinfirma ist. Das in San Francisco ansässige Cybersicherheitsunternehmen erklärte, es habe die auf Kasachstan gerichtete Kampagne im April 2022 entdeckt.

    Hermit ist modular aufgebaut und verfügt über unzählige Funktionen, die es ihm ermöglichen, „ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen und Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln“, so die Lookout-Forscher Justin Albrecht und Paul Shunk in einem neuen Bericht.

    Es wird vermutet, dass die Spyware über SMS-Nachrichten verbreitet wird, die die Nutzer dazu verleiten, scheinbar harmlose Apps von Samsung, Vivo und Oppo zu installieren, die, wenn sie geöffnet werden, eine Website des vorgetäuschten Unternehmens laden, während sie im Hintergrund heimlich die Kill Chain aktivieren.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhlwCTbaGsb9d6zeHzDBQtvDt8j-9OnPgN56cHkjUb01DXcncpI9ZN-KeD6XjwPNK8zpUtgKMOZotF4CWCjFPirlv3hGU4dKCvusE1SPkMDYj45uXYC3-nr5l5M6-sU4e4Xw08NnG5GYCpfbEQi6AeEDDOHMVrFHzgLLYJ49aqOx0hn3vDS0xyi7L4Z9w/s1600/GitLab-ads.png]

    Wie andere Android-Malware-Bedrohungen ist Hermit so konzipiert, dass er seinen Zugang zu Zugangsdiensten und anderen Kernkomponenten des Betriebssystems (d. h. Kontakte, Kamera, Kalender, Zwischenablage usw.) für die meisten seiner bösartigen Aktivitäten missbraucht.

    Android-Geräte waren in der Vergangenheit bereits Ziel von Spionageprogrammen. Im November 2021 wurde der als APT-C-23 (auch bekannt als Arid Viper) bekannte Bedrohungsakteur mit einer Welle von Angriffen auf Nutzer im Nahen Osten mit neuen Varianten von FrozenCell in Verbindung gebracht.

    Letzten Monat deckte die Threat Analysis Group (TAG) von Google auf, dass zumindest von der Regierung unterstützte Akteure in Ägypten, Armenien, Griechenland, Madagaskar, der Elfenbeinküste, Serbien, Spanien und Indonesien Android-Zero-Day-Exploits für verdeckte Überwachungskampagnen kaufen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEgzIZx2i-1pl-8fun9-1P0PX1ojr4e0bnegocd_H7AVjCxxpo8IcevaYVi-keimBBFYQjqt2_TGdDxtqSpl7zm0lws8HXqjnrPIIBpAuLWbFT5uE7uyMdlGBetoTiCzx3-nvXGP30s4qNucdn-cgQ1UV4yRI4Tc5afLPpKX2d8AoyT4Ar3Yp5YJXbjE/s728-e100/code.jpg]

    „RCS Lab, ein bekannter Entwickler, der seit über drei Jahrzehnten aktiv ist, operiert auf demselben Markt wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat“, so die Forscher.

    Sie behaupten, nur an Kunden zu verkaufen, die einen legitimen Bedarf an Überwachungsprogrammen haben, wie z. B. Nachrichtendienste und Strafverfolgungsbehörden, und bezeichnen sich selbst als „Lawful Intercept“-Unternehmen. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Geschäftsleute, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.“

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Die Ergebnisse kommen zu einem Zeitpunkt, an dem die in Israel ansässige NSO Group Berichten zufolge in Gesprächen über den Verkauf ihrer Pegasus-Technologie an das US-Verteidigungsunternehmen L3Harris steht, das Mobiltelefon-Tracker der Marke StingRay herstellt, was Bedenken hervorruft, dass dies den Strafverfolgungsbehörden die Tür für den Einsatz des umstrittenen Hacking-Tools öffnen könnte.

    Der deutsche Hersteller, der hinter FinFisher steht, hat nach Razzien der Ermittlungsbehörden im Zusammenhang mit mutmaßlichen Verstößen gegen das Außenhandelsgesetz durch den Verkauf seiner Spionagesoftware in der Türkei ohne die erforderliche Lizenz selbst Probleme bekommen.

    Anfang März dieses Jahres stellte das Unternehmen seinen Betrieb ein und meldete Insolvenz an, berichteten Netzpolitik und Bloomberg und fügten hinzu: „Das Büro wurde aufgelöst, die Mitarbeiter wurden entlassen und der Geschäftsbetrieb eingestellt.“

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com