Hermit細節披露:由政府操控的複雜間諜軟件
來自Lookout 的安全研究團隊近日披露了Hermit 間諜軟件的諸多細節。該間諜軟件於今年4 月首次發現,主要由政府部署,攻擊目標主要集中在哈薩克斯坦、敘利亞和意大利。
Hermit 間諜軟件最早於今年4 月在哈薩克斯坦發現,而在幾個月前哈薩克斯坦政府暴力鎮壓了針對政府政策的抗議活動。Lookout 表示該國的間諜活動應該很大程度上針對的是哈薩克斯坦當地的實體。此外該間諜軟件還被部署在敘利亞東北部的庫爾德地區,而且意大利當局也通過反腐敗調查的一部分進行部署。
Lookout 獲得了Hermit Android 惡意軟件的樣本,他們稱該惡意軟件是模塊化的,允許間諜軟件根據惡意軟件的需要下載其他組件。間諜軟件使用各種模塊來收集通話記錄、錄製音頻、重定向電話並收集照片、消息、電子郵件和設備的精確位置。
不過,Lookout 表示,該間諜軟件具有root手機的能力,方法是從其命令和控制服務器中提取所需的文件,以打破設備的保護並允許在沒有用戶交互的情況下幾乎不受限制地訪問設備。
Lookout 研究員Paul Shunk 在一封電子郵件中表示,該惡意軟件可以在所有Android 版本上運行。“Hermit 會在不同時間檢查運行應用程序的設備的Android 版本,以使其行為適應操作系統的版本”。
據信,惡意Android 應用程序是通過偽造的短信分發的,看起來消息來自合法來源,冒充電信公司和其他流行品牌的應用程序,然後誘騙受害者下載惡意應用。
Lookout 表示,有證據表明一個受Hermit 感染的iOS 應用程序與其他間諜軟件一樣,濫用Apple 企業開發人員證書從應用程序商店外部加載其惡意應用程序——Facebook 和Google因繞過Apple 的應用程序商店規則而受到懲罰。. Lookout 表示無法獲得iOS 間諜軟件的樣本。
現在Lookout 說它的證據表明Hermit 是由意大利間諜軟件供應商RCS Lab 和Tykelab 開發的,這是一家電信解決方案公司,Lookout 說這是一家幌子公司。發送到Tykelab 網站上的電子郵件地址的電子郵件因未送達而被退回。RCS Lab 的發言人沒有回復置評請求。