Spyware
Spyware
Bildquelle: Antoni Shkraba, Lizenz

Hermit: bisher unbekannte Android-Spyware offenbar von RCS Lab

Eine bisher unbekannte Android-Spyware namens Hermit wurde von einer Forschergruppe offenbar der Gruppe RCS-Lab zugesprochen.

Die Sicherheitsforscher von Lookout ordneten vor kurzem eine bisher unbekannte Android-Spyware mit dem Namen Hermit dem italienischen Softwarehaus RCS Lab zu. Nun haben die threat researcher von Google die meisten der Ergebnisse von Lookout bestätigt. Nun benachrichtigen sie Android-Nutzer, deren Geräte von der Spyware befallen wurden.

Hermit ist ein Überwachungs-Tausendsassa

Hermit ist eine kommerzielle Spyware, die bekanntermaßen von Regierungen eingesetzt wird. Laut Lookout und Google wurde die Software auf Zielen in Kasachstan und Italien gefunden. Lookout zufolge wurde die Spyware auch in Nordsyrien eingesetzt. Hermit verwendet verschiedene Module, die sie bei Bedarf von ihren Command-and-Control-Servern herunterlädt. Damit kann Hermit beispielsweise Anrufprotokolle anlegen und sammeln, Umgebungsgeräusche aufzeichnen und Telefonanrufe umleiten. Zusätzlich werden Fotos, Nachrichten, E-Mails sowie der genauen Standort des Geräts eines Ziels von der Spyware erfasst. Lookout stellte in seiner Analyse fest, dass Hermit, das auf allen Android-Versionen funktioniert, sogar versucht, ein infiziertes Android-Gerät zu rooten. Dadurch erhält die Spyware einen noch tieferen Zugriff auf die Daten des Ziels.

Laut Lookout schicken Angreifer den Opfern per SMS einen bösartigen Link, der sie dazu verleitet, die bösartige App – die sich als legitime Telco- oder Messaging-App tarnt – von außerhalb des App-Stores herunterzuladen und zu installieren. In einem neuen Blog-Post, den Google am Donnerstag veröffentlichte, gibt Google an, Beweise dafür gefunden zu haben, dass in einigen Fällen die staatlichen Akteure, die die Spyware kontrollieren, mit dem Internet-Provider der Zielperson zusammengearbeitet haben. Ziel war, die mobile Datenverbindung zu unterbrechen; wahrscheinlich als Lockmittel, um die Zielperson unter dem Vorwand, die Verbindung wiederherzustellen, zum Herunterladen einer Telco-App zu verleiten. Ein perfides Spiel.

Google analysierte auch eine Probe der Hermit-Spyware, die auf iPhones abzielt, die Lookout nach eigenen Angaben zuvor nicht beschaffen konnte. Den Ergebnissen von Google zufolge enthält die iOS-App Hermit sechs verschiedene Schwachstellen, von denen zwei zum Zeitpunkt ihrer Entdeckung noch nie dagewesene Schwachstellen (Zero-Days) waren. Von einer der Zero-Day-Schwachstellen war Apple bekannt, dass Angreifer sie aktiv ausnutzten, bevor sie behoben wurde. Hermit missbraucht die Apple-Entwicklerzertifikate für Unternehmen, damit Ziele es von außerhalb des App-Stores auf ihr Gerät laden können.

Hermit ähnlich zu Software der NSO Group und Candiru

Hermit

Nach Angaben Google und Apples wurden weder die Android- noch die iOS-Versionen der Hermit-Spyware in den App-Stores gefunden. Google teilte mit, dass sie die Android-Nutzer der infizierten Geräte benachrichtigen. Zudem aktualisierte Google auch Play Protect, um die Ausführung der App zu blockieren. Google sagten, dass sie auch das dazugehörige Firebase-Konto der Spyware gesperrt haben. Dieses war für die Spyware nötig für die Kommunikation mit ihren Servern. Google gab keine Auskunft darüber, wie viele Android-Nutzer sie benachrichtigten. Apple-Sprecher Trevor Kincaid sagte gegenüber TechCrunch, dass Apple alle bekannten Konten und Zertifikate, die mit dieser Spyware in Verbindung stehen, gelöscht und widerrufen hat.

Hermit ist eine neuartige Spionagesoftware, die staatliche Stellen einsetzen. Es ist zwar nicht bekannt, wen Regierungen mit Hermit ins Visier nahmen, aber ähnliche mobile Spyware, die Unternehmen wie die NSO Group und Candiru entwickelten, wurde mit der Überwachung von Journalisten, Aktivisten und Menschenrechtsverteidigern in Verbindung gebracht.