Mobile Hermit-Malware

Die Hermit-Malware ist eine ausgeklügelte und modulare mobile Bedrohung. Es wurde entwickelt, um zahlreiche invasive Aktionen auf den verletzten Geräten durchzuführen, aber seine Hauptfunktionalität ist die von Spyware. Die Bedrohung kann je nach den spezifischen Zielen der Angreifer verschiedene beschädigte Module von ihrem Command-and-Control-Server (C2, C&C) abrufen. Die Bedrohung kann Anrufe protokollieren, Audio aus der Umgebung oder direkt von einem Telefonanruf aufzeichnen, Fotos und Videos sammeln, SMS-Nachrichten und E-Mails lesen, den Standort des infizierten Geräts verfolgen und vieles mehr. Die Hermit-Malware kann sogar Android-Geräte rooten, um noch umfassendere Berechtigungen zu erhalten. Die Bedrohung wird angeblich von einem italienischen Softwareunternehmen namens RCS Lab entwickelt.

Ein Blogbeitrag der Threat Analysis Group (TAG) von Google enthüllte Details über Drohkampagnen, die auf Nutzer in Italien und Kasachstan abzielten. Die Cyberkriminellen senden den Benutzern einen eindeutigen Link, der zu einer beschädigten Anwendung führt, von der sowohl Android- als auch iOS-Benutzer betroffen sind. Die Experten glauben, dass die Angreifer in einigen Fällen sogar mit dem ISP (Internet Service Provider) der Ziele zusammengearbeitet haben, um ihre mobile Datenverbindung zu deaktivieren. Das Ziel besteht darin, dem Opfer dann einen beschädigten Link per SMS-Nachricht zu senden, in dem behauptet wird, dass Benutzer ihren Internetzugang wiederherstellen können, wenn sie die Anwendung installieren. Alternativ könnten Cyberkriminelle die bedrohliche Anwendung als Messaging-Client tarnen.

Die iOS-Version von Hermit missbraucht eine Technik, die als Sideloading bekannt ist. Die Anwendungen, die die Malware enthalten, sind mit einem Enterprise-Entwicklerzertifikat signiert, sodass sie alle iOS-Codesignaturanforderungen erfüllen. Darüber hinaus werden im Rahmen der Infektion sechs verschiedene Schwachstellen ausgenutzt, von denen zwei Zero-Day-Schwachstellen sind.