Android-Spionagesoftware „Hermit“ entdeckt

Lookout, Inc. hat Android-Überwachungssoftware entdeckt, die auf Unternehmen abzielt. Sie wurde von der kasachischen Regierung innerhalb ihrer Grenzen eingesetzt, vier Monate nachdem landesweite Proteste gegen die Regierungspolitik gewaltsam unterdrückt wurden. Lookout-Forscher fanden außerdem Beweise für den Einsatz der Spyware „Hermit“  in Italien und im Nordosten Syriens.

Hermit wurde wahrscheinlich vom italienischen Spyware-Anbieter RCS Lab S.p.A. und von Tykelab Srl entwickelt, einem Unternehmen für Telekommunikationslösungen, das möglicherweise als Tarnfirma fungiert. RCS Lab, ein bekannter Entwickler, der in der Vergangenheit mit Ländern wie Syrien zu tun hatte, ist auf demselben Markt tätig wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat. Diese Entdeckung scheint das erste Mal zu sein, dass ein aktueller Kunde der mobilen Spionagesoftware von RCS Lab öffentlich identifiziert wurde.

Diese Unternehmen, die sich gemeinsam als „Lawful Intercept“-Unternehmen bezeichnen, behaupten, dass sie nur an Kunden verkaufen, die Überwachungsprogramme rechtmäßig nutzen, wie z. B. Geheimdienste und Strafverfolgungsbehörden. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Führungskräfte, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.

Hermit ist eine modulare Überwachungssoftware, die ihre bösartigen Fähigkeiten in Paketen versteckt, die nach ihrer Installation heruntergeladen werden. Den Forschern ist es gelungen, 16 der 25 bekannten Module zu erhalten und zu analysieren. Die Module ermöglichen es Hermit, zusammen mit den Berechtigungen der Kern-Malware, ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen, Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln.

„Diese Entdeckung gibt uns einen tiefen Einblick in die Aktivitäten eines Spyware-Anbieters und in die Funktionsweise hochentwickelter App-basierter Spyware“, erklärte Justin Albrecht, Threat Intelligence Researcher bei Lookout. „Wenn man bedenkt, wie anpassungsfähig Hermit ist, einschließlich seiner Anti-Analyse-Fähigkeiten und sogar der Art und Weise, wie es sorgfältig mit Daten umgeht, ist es klar, dass es sich um ein gut entwickeltes Tool handelt. Es wurde entwickelt, um Überwachungsfähigkeiten für nationalstaatliche Kunden bereitzustellen. Interessant ist auch, dass wir Kasachstan als einen wahrscheinlichen aktuellen Kunden von RCS Lab bestätigen konnten. Es kommt nicht oft vor, dass man den Kundenkreis eines Spyware-Anbieters identifizieren kann.“

Lookout-Forscher vermuten, dass die Spyware über SMS-Nachrichten verbreitet wird, die vorgeben, von einer legitimen Quelle zu stammen. Die analysierten Malware-Samples gaben sich als Anwendungen von Telekommunikationsunternehmen oder Smartphone-Herstellern aus. Hermit täuscht Benutzer, indem es die legitimen Webseiten der Marken, für die er sich ausgibt, aufruft, während es im Hintergrund bösartige Aktivitäten startet.

ZDNet.de Redaktion

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

21 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

21 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago