Google dokumentiert neue Gefahrenquelle : mobile Spyware Hermit ist vollständig anpassbar
27. Juni 2022Google dokumentiert neue Gefahrenquelle : mobile Spyware Hermit ist vollständig anpassbar
San Francisco, 27.6.2022
Eine Woche nachdem bekannt wurde, dass die kasachische Regierung eine ausgeklügelte mobile Spyware mit dem Namen „Hermit“ innerhalb ihrer Grenzen eingesetzt hat, informierte Google alle Android-Nutzer , sofern ihr Gerät infiziert war.
Lookout gelang es in der vergangenen Woche, Hermit zu dokumentieren. Dabei handelt es sich um ein Produkt des in Mailand (Italien) ansässigen Unternehmens RCS Lab. Das stärkste Interesse galt den Fähigkeiten, die durch die modularen Funktionen möglich werden:
https://thehackernews.com/2022/06/researchers-uncover-hermit-android.html
War es Hermit gelungen , sich in ein Gerät einzuschleichen, konnte es Audiodaten aufzeichnen, Telefonanrufe tätigen und umleiten. Der Clou aber ist: Dank der Modularität kann sich Hermit vollständig an das Geräteumfeld anpassen.
Wer nutzt diese Spyware? RCS Lab sagt, es sind Strafverfolgungsbehörden, die weltweit mit modernsten technologischen Lösungen und technischer Unterstützung im Bereich der rechtmäßigen Überwachung aktiv sind. Angeblich werden allein in Europa täglich mehr als 10.000 abgehörte Ziele bearbeitet.
Kritiker sehen das anders. Sie meinen, diese digitale Waffe werde eingesetzt , um Zivilisten und ihre mobilen Geräte ins Visier zu nehmen. Die mit Hermit gesammelten Daten hätten wahrscheinlich einen unschätzbarem Wert.
Zwei weitere Tricks zum Datendiebstahl sollten beachtet werden:
– Telefone von Zielpersonen werden über Drive-by-Downloads mit dem Spionagetool infiziert, was wiederum das Versenden eines eindeutigen Links in einer SMS-Nachricht zur Folge hat, der nach dem Anklicken die Angriffskette in Gang setzt.
– es wird auch vermutet, dass die Akteure mit den Internetdienstanbietern (ISPs) der Zielpersonen zusammengearbeitet haben, um deren mobile Datenverbindung zu deaktivieren und anschließend eine SMS zu senden, die die Empfänger auffordert, eine Anwendung zu installieren, um den mobilen Datenzugang wiederherzustellen. Das würde nämlich erklären, warum sich viele Anwendungen als Anwendungen der Mobilfunkanbieter tarnten.Doch auch ohne die Beteiligung eines ISP gibt es noch einen Weg: man tarnt die Anwendungen als Messaging- Anwendungen.
Um iOS-Benutzer zu kompromittieren, hätten die Angreifer auf Bereitstellungsprofile zurückgegriffen. Danach ist es möglich, gefälschte, vom Mobilfunkanbieter gebrandete Apps auf die Geräte zu laden, ohne dass diese im App Store verfügbar sein müssen. Apple hat nach dieser Enthüllung alle bekannten Konten und Zertifikate,die mit Hermit in Verbindung standen, widerrufen.
