Hermit: bisher unbekannte Android-Spyware offenbar von RCS Lab

Kommentare
1

Spyware
Spyware1708×1305 332 KB

Kommentare zu folgendem Beitrag: Hermit: bisher unbekannte Android-Spyware offenbar von RCS Lab

2

Bei solchen Artikeln muss ich immer schmunzeln.
Wird doch so oft und gerne Behauptet, iOS ist Absolut sicher, durch nichts zu knacken und Absolut Spyware sicher.

Trozdem liest man immer wieder, das mittlerweile diverse Geheimdienste iPhones Knacken können, oder Spyware die Handys Infiziert.
Und trozdem behaupten Apple jünger weiterhin, iPhones sind Absolut sicher.

3

Spyware-Anbieter arbeitet mit ISPs zusammen, um iOS- und Android-Benutzer zu infizieren!

Die Threat Analysis Group (TAG) von Google gab heute bekannt, dass RCS Labs, ein italienischer Spyware-Anbieter, Hilfe von einigen Internetdienstanbietern (ISPs) erhalten hat, um Android- und iOS-Benutzer in Italien und Kasachstan mit kommerziellen Überwachungstools zu infizieren.

Laut den Google TAG-Analysten Benoit Sevens und Clement Lecigne ist RCS Labs nur einer von mehr als 30 Spyware-Anbietern, deren Aktivitäten derzeit von Google verfolgt werden.
Bei Angriffen, bei denen Drive-by-Downloads verwendet wurden, um mehrere Opfer zu infizieren, wurden die Opfer aufgefordert, bösartige Apps ( getarnt als legitime Mobilfunkanbieter-Apps ) zu installieren, um wieder online zu gehen, nachdem ihre Internetverbindung mit Hilfe ihres ISP unterbrochen wurde.
„In einigen Fällen glauben wir, dass die Akteure mit dem ISP des Ziels zusammengearbeitet haben, um die mobile Datenverbindung des Ziels zu deaktivieren“, heißt es in dem Bericht .
„Nach der Deaktivierung sendete der Angreifer einen böswilligen Link per SMS und forderte das Ziel auf, eine Anwendung zu installieren, um seine Datenkonnektivität wiederherzustellen.“
Wenn sie nicht direkt mit den ISPs ihrer Ziele zusammenarbeiten könnten, würden die Angreifer die schädlichen Apps als Messaging-Anwendungen tarnen.
Sie drängten sie über eine erfundene Support-Seite, die behauptete, potenziellen Opfern dabei zu helfen, ihre gesperrten Facebook-, Instagram- oder WhatsApp-Konten wiederherzustellen.
Während die Facebook- und Instagram-Links es ihnen ermöglichen würden, die offiziellen Apps zu installieren, würden sie beim Klicken auf den WhatsApp-Link am Ende eine bösartige Version der legitimen WhatsApp-App installieren.

Mehrere Exploits (einige davon Zero-Days) zur Überwachung verwendet:

Laut Google waren die schädlichen Apps, die auf den Geräten der Opfer bereitgestellt wurden, nicht im Apple App Store oder bei Google Play verfügbar. Die Angreifer haben jedoch die iOS-Version (signiert mit einem Unternehmenszertifikat) von der Seite geladen und das Ziel aufgefordert, die Installation von Apps aus unbekannten Quellen zu ermöglichen.
Die bei diesen Angriffen entdeckte iOS-App verfügte über mehrere integrierte Exploits, die es ihr ermöglichten, Berechtigungen auf dem kompromittierten Gerät zu eskalieren und Dateien zu stehlen.
„Es enthält einen generischen Exploit-Wrapper zur Rechteausweitung, der von sechs verschiedenen Exploits verwendet wird. Es enthält auch einen minimalistischen Agenten, der in der Lage ist, interessante Dateien aus dem Gerät zu exfiltrieren, wie beispielsweise die Whatsapp-Datenbank“, erklärten die Analysten.

Insgesamt wurden sechs verschiedene Exploits gebündelt:

  • CVE-2018-4344 wird intern als LightSpeed ​​bezeichnet und ist öffentlich bekannt.
  • CVE-2019-8605 wird intern als SockPort2 bezeichnet und ist öffentlich als SockPuppet bekannt
  • CVE-2020-3837 wird intern als TimeWaste bezeichnet und ist öffentlich bekannt.
  • CVE-2020-9907 intern als AveCesare bezeichnet.
  • CVE-2021-30883 , intern als Clicked2 bezeichnet, im Oktober 2021 von Apple als „in the wild Exploited“ gekennzeichnet .
  • CVE-2021-30983 intern als Clicked3 bezeichnet, von Apple im Dezember 2021 behoben.

„Alle vor 2021 verwendeten Exploits basieren auf öffentlichen Exploits, die von verschiedenen Jailbreaking-Communities geschrieben wurden. Zum Zeitpunkt der Entdeckung glauben wir, dass CVE-2021-30883 und CVE-2021-30983 zwei 0-Day-Exploits waren“, fügten sie hinzu.

Andererseits kam die bösartige Android-App ohne gebündelte Exploits. Dennoch verfügte es über Funktionen, die es ihm ermöglichen würden, zusätzliche Module mithilfe der DexClassLoader-API herunterzuladen und auszuführen.
Die Verbreitung von Überwachungs- und Spyware-Fähigkeiten, wie sie heute von TAG von RCS Lab beschrieben werden, sollte ein Hauptanliegen für alle Internetnutzer sein und eines, dem wir weiterhin entgegenwirken und stören werden.

– Billy Leonard (@billyleonard) 23. Juni 2022
Einige Opfer haben mitgeteilt, dass ihre Geräte kompromittiert wurden
Google hat Android-Opfer gewarnt, dass ihre Geräte gehackt und mit Spyware infiziert wurden, die Sicherheitsforscher von Lookout in einer detaillierten Analyse dieses Implantats, die letzte Woche veröffentlicht wurde, Hermit nannten.

Laut Lookout ist Hermit eine „modulare Überwachungssoftware“, die „Audio aufzeichnen und Telefonanrufe tätigen und umleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, Gerätestandort und SMS-Nachrichten sammeln kann“.
Google hat auch die Firebase-Projekte deaktiviert, die von den Bedrohungsakteuren verwendet wurden, um eine Command-and-Control-Infrastruktur für diese Kampagne einzurichten.
Im Mai enthüllte Google TAG eine weitere Kampagne, in der staatlich unterstützte Bedrohungsakteure fünf Zero-Day-Sicherheitslücken nutzten, um die vom kommerziellen Überwachungsentwickler Cytrox entwickelte Predator-Spyware zu installieren.
„TAG verfolgt aktiv mehr als 30 Anbieter mit unterschiedlichem Niveau an Erfahrung und öffentlicher Präsenz, die Exploits oder Überwachungsfunktionen an von der Regierung unterstützte Akteure verkaufen“, sagte Google damals.