Hermit: Google analysiert italienischen Staatstrojaner

Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

Artikel veröffentlicht am ,
Ein Einsiedlerkrebs (englisch hermit crab).
Ein Einsiedlerkrebs (englisch hermit crab). (Bild: Pixabay)

Ein Staatstrojaner des italienischen Unternehmens RCS Labs ist genutzt worden, um Smartphones in Italien und Kasachstan auszuspionieren, wie Googles Threat Analysis Group (TAG) in einer aktuellen Untersuchung schreibt. Das Einschleusen des Trojaners geschieht demnach teils sogar mit aktiver Unterstützung des jeweiligen Providers der damit Angegriffenen, heißt es weiter.

Stellenmarkt
  1. Systemadministrator*in (m/w/d) Netzwerk- und Internetdienste
    Universitätsmedizin der Johannes Gutenberg-Universität Mainz, Mainz
  2. Systemkonfigurator (w/m/d)
    Bildbau AG Neue Medien, Berlin
Detailsuche

Die Untersuchung von Googles TAG bezieht sich dabei auf eine ganze Familie von Malware und Trojanern, die auch das IT-Sicherheitsunternehmen Lookout bereits zuvor untersucht und beschrieben hat. Lookout nennt die Spyware Hermit und vergleicht deren Einsatzzweck mit dem Pegasus-Trojaner der NSO Group oder dem Finfisher der Gamma Group. Hermit soll laut Lookout außerdem in Nordost-Syrien von einem "unbekannten Akteur" eingesetzt worden sein.

Weitreichende Fähigkeiten, Angriff per SMS

Der Trojaner soll dazu in der Lage sein, Chat-Apps, Kamera, Mikrofon, Kontakte, Kalender, Browser oder auch die Zwischenablage auszuspionieren. Auch das Nachladen weiterer Schadsoftware soll mit Hermit möglich sein. Google und Lookout berichten übereinstimmend, dass zum Einschleusen des Trojaners SMS verwendet werden.

Der Mobile-ISP deaktiviere demnach in Zusammenarbeit mit Behörden die Datenverbindung des Ziels und schicke daraufhin eine SMS, die auf einen App-Download verweist, um die Datenverbindung wiederherzustellen. "Wir glauben, dass dies der Grund ist, warum sich die meisten Anwendungen als Anwendungen von Mobilfunkanbietern getarnt haben", heißt es dazu. Alternativ sind die Spyware-Apps als Messenger-Apps von Facebook-Mutter Meta getarnt worden.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    26./27.09.2022, Virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    27./28.09.2022, Virtuell
Weitere IT-Trainings

Für das Side-Loading unter iOS, das eigentlich von den Vorkehrungen des Systems verhindert wird, setzt Hermit demnach auf die Signatur eines Unternehmens in Apples Developer Programm. Die Spyware nutzt darüber hinaus dann jenen Mechanismus, mit dem Unternehmen eigene interne Apps an ihre Angestellten verteilen können.

Für iOS nutzt der Trojaner darüber hinaus zahlreiche bereits bekannte Sicherheitslücken, die Apple auch schon geschlossen hat, sowie zwei von Google als Zero-Day-Exploits beschriebene Sicherheitslücken (CVE-2021-30883, CVE-2021-30983). Für Android fand das Team keine gesonderten Exploits, die legitim erscheinende App fragt stattdessen schlicht nach Berechtigungen.

Google schreibt dazu: "Diese Kampagne ist eine gute Erinnerung daran, dass Angreifer nicht immer Exploits verwenden, um die benötigten Berechtigungen zu erhalten. Einfache Infektionsvektoren und Drive-by-Downloads funktionieren immer noch und können mit Hilfe lokaler ISPs sehr effizient sein."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Intel & AMD
Neue Sicherheitslücken in Prozessoren - SGX betroffen

Aktuelle CPUs von Intel und AMD haben Schwachstellen, über die fremde Daten ausgelesen werden können.
Eine Analyse von Johannes Hiltscher

Intel & AMD: Neue Sicherheitslücken in Prozessoren - SGX betroffen
Artikel
  1. Elektroautos: Siemens und Mahle kooperieren bei kabellosem Laden
    Elektroautos
    Siemens und Mahle kooperieren bei kabellosem Laden

    Siemens und Mahle wollen beim induktiven Laden von Elektroautos zusammenarbeiten. Siemens verspricht sich große Chancen in diesem Markt.

  2. Google Fonts: Abmahnungen an Webseitenbetreiber mit Google-Schriftarten
    Google Fonts
    Abmahnungen an Webseitenbetreiber mit Google-Schriftarten

    Nach einer Entscheidung des Landgerichts München erhalten Webseitenbetreiber mit eingebundenen Google Fonts vermehrt Abmahnungen.

  3. Programmiersprache: JSON-Erfinder will Javascript in Rente schicken
    Programmiersprache
    JSON-Erfinder will Javascript in Rente schicken

    Douglas Crockford, der Erfinder des Datenformats JSON und Mitentwickler von Javascript, findet, dass die Sprache in Rente geschickt werden sollte.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: WD SSD 1TB m. Kühlkörper (PS5) 119,90€, MSI 29,5" 200 Hz 259€, LG QNED 75" 120 Hz 1.455,89€ • MindStar (XFX RX 6950 XT 999€, Gainward RTX 3070 559€) • Gigabyte Deals • Der beste Gaming-PC für 2.000€ • Apple Week bei Media Markt • be quiet! Deals [Werbung]
    •  /