Lookout 的安全研究人员发布了有关各国政府在有针对性的攻击中部署的 Android 间谍软件的新细节,受害者分布在哈萨克斯坦、叙利亚和意大利。
Lookout 将其命名为Hermit的间谍软件于 4 月首次在哈萨克斯坦被发现,就在几个月后,哈萨克斯坦政府暴力镇压了针对政府政策的抗议活动。 Lookout 表示,最近的竞选活动可能是哈萨克斯坦政府实体的幕后黑手。该间谍软件还被部署在叙利亚东北部的库尔德地区,意大利当局作为反腐败调查的一部分。
Lookout 获得了 Hermit Android 恶意软件的样本,他们称该恶意软件是模块化的,允许间谍软件在恶意软件需要时下载其他组件。间谍软件使用各种模块来收集通话记录、录制音频、重定向电话并收集照片、消息、电子邮件和设备的精确位置,这与其他间谍软件非常相似。不过,Lookout 表示,该间谍软件具有 root 手机的能力,方法是从其命令和控制服务器中提取所需的文件,以打破设备的保护并允许在没有用户交互的情况下几乎不受限制地访问设备。
Lookout 研究员 Paul Shunk 在一封电子邮件中表示,该恶意软件可以在所有 Android 版本上运行。 “Hermit 会在不同时间检查运行应用程序的设备的 Android 版本,以使其行为适应操作系统的版本。” Shunk 说这“从其他基于应用程序的间谍软件中脱颖而出”。
据信,恶意 Android 应用程序是通过伪造的短信分发的,看起来消息来自合法来源,冒充电信公司和其他流行品牌(如三星和中国电子巨头 Oppo)的应用程序,然后诱骗受害者下载恶意应用。
Lookout 表示,有证据表明感染了 Hermit 的 iOS 应用程序与其他间谍软件一样,滥用 Apple 企业开发人员证书从应用程序商店外部加载其恶意应用程序——Facebook和谷歌因绕过 Apple 的应用程序商店规则而受到惩罚。 . Lookout 表示无法获得 iOS 间谍软件的样本。
现在 Lookout 说它的证据表明 Hermit 是由意大利间谍软件供应商 RCS Lab 和 Tykelab 开发的,这是一家电信解决方案公司,Lookout 说这是一家幌子公司。发送到 Tykelab 网站上的电子邮件地址的电子邮件因未送达而被退回。 RCS Lab 的发言人没有回复置评请求。
Hermit 只是几个已知的政府级间谍软件之一,这些软件已知被当局使用,这个市场正在成为一个繁忙的移动漏洞利用市场,允许政府进行有针对性的电话监控。但是,许多政府雇佣黑客公司,如以色列公司 Candiru 和 NSO 集团,被民族国家及其当局用来监视他们最直言不讳的批评者,包括记者、活动家和人权捍卫者。
您可以通过 Signal 和 WhatsApp 安全地向 +1 646-755-8849 发送提示。您还可以使用我们的 Secure Drop 发送文件或文档。学到更多
原文: https://techcrunch.com/2022/06/17/hermit-spyware-government/