Android-Spionagesoftware „Hermit“ entdeckt

Lookout, Inc. hat Android-Überwachungssoftware entdeckt, die auf Unternehmen abzielt. Sie wurde von der kasachischen Regierung innerhalb ihrer Grenzen eingesetzt, vier Monate nachdem landesweite Proteste gegen die Regierungspolitik gewaltsam unterdrückt wurden. Lookout-Forscher fanden außerdem Beweise für den Einsatz der Spyware „Hermit“  in Italien und im Nordosten Syriens.

Hermit wurde wahrscheinlich vom italienischen Spyware-Anbieter RCS Lab S.p.A. und von Tykelab Srl entwickelt, einem Unternehmen für Telekommunikationslösungen, das möglicherweise als Tarnfirma fungiert. RCS Lab, ein bekannter Entwickler, der in der Vergangenheit mit Ländern wie Syrien zu tun hatte, ist auf demselben Markt tätig wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat. Diese Entdeckung scheint das erste Mal zu sein, dass ein aktueller Kunde der mobilen Spionagesoftware von RCS Lab öffentlich identifiziert wurde.

Diese Unternehmen, die sich gemeinsam als „Lawful Intercept“-Unternehmen bezeichnen, behaupten, dass sie nur an Kunden verkaufen, die Überwachungsprogramme rechtmäßig nutzen, wie z. B. Geheimdienste und Strafverfolgungsbehörden. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Führungskräfte, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.

Hermit ist eine modulare Überwachungssoftware, die ihre bösartigen Fähigkeiten in Paketen versteckt, die nach ihrer Installation heruntergeladen werden. Den Forschern ist es gelungen, 16 der 25 bekannten Module zu erhalten und zu analysieren. Die Module ermöglichen es Hermit, zusammen mit den Berechtigungen der Kern-Malware, ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen, Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln.

„Diese Entdeckung gibt uns einen tiefen Einblick in die Aktivitäten eines Spyware-Anbieters und in die Funktionsweise hochentwickelter App-basierter Spyware“, erklärte Justin Albrecht, Threat Intelligence Researcher bei Lookout. „Wenn man bedenkt, wie anpassungsfähig Hermit ist, einschließlich seiner Anti-Analyse-Fähigkeiten und sogar der Art und Weise, wie es sorgfältig mit Daten umgeht, ist es klar, dass es sich um ein gut entwickeltes Tool handelt. Es wurde entwickelt, um Überwachungsfähigkeiten für nationalstaatliche Kunden bereitzustellen. Interessant ist auch, dass wir Kasachstan als einen wahrscheinlichen aktuellen Kunden von RCS Lab bestätigen konnten. Es kommt nicht oft vor, dass man den Kundenkreis eines Spyware-Anbieters identifizieren kann.“

Lookout-Forscher vermuten, dass die Spyware über SMS-Nachrichten verbreitet wird, die vorgeben, von einer legitimen Quelle zu stammen. Die analysierten Malware-Samples gaben sich als Anwendungen von Telekommunikationsunternehmen oder Smartphone-Herstellern aus. Hermit täuscht Benutzer, indem es die legitimen Webseiten der Marken, für die er sich ausgibt, aufruft, während es im Hintergrund bösartige Aktivitäten startet.

Jakob Jung

Recent Posts

Datenschutz & LinkedIn

Von über 830 Millionen Mitgliedern weltweit verwaltet das kalifornische Online-Karriereportal LinkedIn inzwischen Daten und Kontakte.…

2 Tagen ago

Matter: Neuer Standard für Smart Home

Die Connectivity Standards Alliance (CSA) will Matter zum neuen Konnektivitätsstandard für Smart Homes machen.

2 Tagen ago

Unverschlüsselte Geräte sind gefährlich

Unverschlüsselte Geräte sind ein Einfallstor für Hacker. Es ist schwierig, den Überblick über sämtliche Endpoints…

2 Tagen ago

Altanwendungen eine Chance geben

Altanwendungen besitzen keinen guten Ruf, obwohl sie viele Jahre treu und zuverlässig funktioniert haben. Es…

3 Tagen ago

Angriffe auf Computerspiele verdoppelt

Spielehersteller und Gamer-Accounts sind durch den Anstieg der Angriffe auf Webanwendungen nach der Pandemie gefährdet.…

3 Tagen ago

Backup-Kosten sparen

Datensicherung ist unabdingbar, kann aber ins Geld gehen. André Schindler, General Manager EMEA bei NinjaOne…

3 Tagen ago