Sicherheitsforscher von Lookout haben neue Details über eine Android-Spyware veröffentlicht, die bei gezielten Angriffen nationaler Regierungen mit Opfern in Kasachstan, Syrien und Italien eingesetzt wird.
Die Spyware, die Lookout nennt Einsiedler, wurde erstmals im April in Kasachstan entdeckt, nur wenige Monate nachdem die kasachische Regierung Proteste gegen die Regierungspolitik gewaltsam unterdrückt hatte. Laut Lookout steckt wahrscheinlich eine kasachische Regierungsbehörde hinter der jüngsten Kampagne. Die Spyware wurde auch in der nordöstlichen kurdischen Region Syriens und von italienischen Behörden im Rahmen von Ermittlungen zur Korruptionsbekämpfung eingesetzt.
Lookout hat eine Probe der Android-Malware Hermit erhalten, die modular aufgebaut ist und es der Spyware ermöglicht, zusätzliche Komponenten herunterzuladen, wenn die Malware sie benötigt. Die Spyware verwendet die verschiedenen Module, um Anrufprotokolle zu sammeln, Audio aufzuzeichnen, Telefonanrufe umzuleiten und Fotos, Nachrichten, E-Mails und den genauen Standort des Geräts zu sammeln, ähnlich wie andere Spyware. Lookout sagte jedoch, dass die Spyware in der Lage ist, Telefone zu rooten, indem sie die Dateien von ihrem Command-and-Control-Server einzieht, die erforderlich sind, um den Schutz des Geräts zu brechen und einen nahezu uneingeschränkten Zugriff auf ein Gerät ohne Benutzerinteraktion zu ermöglichen.
In einer E-Mail sagte Lookout-Forscher Paul Shunk, dass die Malware auf allen Android-Versionen ausgeführt werden kann. „Hermit überprüft zu verschiedenen Zeiten die Android-Version des Geräts, auf dem die App ausgeführt wird, um sein Verhalten an die Version des Betriebssystems anzupassen.“ Shunk sagte, dies „hebt sich von anderer App-basierter Spyware ab“.
Es wird angenommen, dass die bösartige Android-App per Textnachricht verbreitet wird, die so aussieht, als ob die Nachricht aus einer legitimen Quelle stammt, und sich als Apps von Telekommunikationsunternehmen und anderen beliebten Marken wie Samsung und dem chinesischen Elektronikriesen Oppo ausgibt, was das Opfer dann dazu verleitet, die herunterzuladen bösartige App.
Lookout sagte, es gebe Hinweise auf eine Hermit-infizierte iOS-App, die wie andere Spyware Apple-Unternehmensentwicklerzertifikate missbraucht, um ihre bösartige App von außerhalb des App-Stores herunterzuladen – dasselbe Verhalten, für das Facebook und Google bestraft wurden, indem sie Apples App-Store-Regeln umgingen . Lookout sagte, es sei nicht möglich, eine Probe der iOS-Spyware zu erhalten.
Jetzt sagt Lookout, dass seine Beweise darauf hindeuten, dass Hermit vom italienischen Spyware-Anbieter RCS Lab und Tykelab, einem Unternehmen für Telekommunikationslösungen, entwickelt wurde, das laut Lookout eine Scheinfirma ist. Eine E-Mail, die an eine E-Mail-Adresse auf der Website von Tykelab gesendet wurde, wurde als nicht zugestellt zurückgesendet. Ein Sprecher von RCS Lab antwortete nicht auf eine Bitte um Stellungnahme.
Hermit ist nur eine von mehreren bekannten staatlichen Spyware-Programmen, von denen bekannt ist, dass sie von Behörden in einem sich entwickelnden geschäftigen Markt für mobile Exploits eingesetzt werden, um Regierungen eine gezielte Telefonüberwachung zu ermöglichen. Aber viele dieser staatlichen Hacking-for-Hire-Unternehmen, wie die israelischen Firmen Candiru und NSO Group, werden von Nationalstaaten und ihren Behörden benutzt, um ihre lautstärksten Kritiker, darunter Journalisten, Aktivisten und Menschenrechtsverteidiger, auszuspionieren.
Du kannst Tipps sicher über Signal und WhatsApp an +1 646-755-8849 senden. Sie können auch Dateien oder Dokumente mit unserem Secure sendenFallen. Mehr erfahren