Hermit: Google analysiert italienischen Staatstrojaner
Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

Ein Staatstrojaner des italienischen Unternehmens RCS Labs ist genutzt worden, um Smartphones in Italien und Kasachstan auszuspionieren, wie Googles Threat Analysis Group (TAG) in einer aktuellen Untersuchung schreibt. Das Einschleusen des Trojaners geschieht demnach teils sogar mit aktiver Unterstützung des jeweiligen Providers der damit Angegriffenen, heißt es weiter.
Die Untersuchung von Googles TAG bezieht sich dabei auf eine ganze Familie von Malware und Trojanern, die auch das IT-Sicherheitsunternehmen Lookout bereits zuvor untersucht und beschrieben hat. Lookout nennt die Spyware Hermit und vergleicht deren Einsatzzweck mit dem Pegasus-Trojaner der NSO Group oder dem Finfisher der Gamma Group. Hermit soll laut Lookout außerdem in Nordost-Syrien von einem "unbekannten Akteur" eingesetzt worden sein.
Weitreichende Fähigkeiten, Angriff per SMS
Der Trojaner soll dazu in der Lage sein, Chat-Apps, Kamera, Mikrofon, Kontakte, Kalender, Browser oder auch die Zwischenablage auszuspionieren. Auch das Nachladen weiterer Schadsoftware soll mit Hermit möglich sein. Google und Lookout berichten übereinstimmend, dass zum Einschleusen des Trojaners SMS verwendet werden.
Der Mobile-ISP deaktiviere demnach in Zusammenarbeit mit Behörden die Datenverbindung des Ziels und schicke daraufhin eine SMS, die auf einen App-Download verweist, um die Datenverbindung wiederherzustellen. "Wir glauben, dass dies der Grund ist, warum sich die meisten Anwendungen als Anwendungen von Mobilfunkanbietern getarnt haben", heißt es dazu. Alternativ sind die Spyware-Apps als Messenger-Apps von Facebook-Mutter Meta getarnt worden.
Für das Side-Loading unter iOS, das eigentlich von den Vorkehrungen des Systems verhindert wird, setzt Hermit demnach auf die Signatur eines Unternehmens in Apples Developer Programm. Die Spyware nutzt darüber hinaus dann jenen Mechanismus, mit dem Unternehmen eigene interne Apps an ihre Angestellten verteilen können.
Für iOS nutzt der Trojaner darüber hinaus zahlreiche bereits bekannte Sicherheitslücken, die Apple auch schon geschlossen hat, sowie zwei von Google als Zero-Day-Exploits beschriebene Sicherheitslücken (CVE-2021-30883, CVE-2021-30983). Für Android fand das Team keine gesonderten Exploits, die legitim erscheinende App fragt stattdessen schlicht nach Berechtigungen.
Google schreibt dazu: "Diese Kampagne ist eine gute Erinnerung daran, dass Angreifer nicht immer Exploits verwenden, um die benötigten Berechtigungen zu erhalten. Einfache Infektionsvektoren und Drive-by-Downloads funktionieren immer noch und können mit Hilfe lokaler ISPs sehr effizient sein."
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Kein guter Rat: Das im Artikel genannte Nordost-Syrien ist von den USA annektiert...
Ich nutze seit es Nvidia gibt deren Karten, und bisher hat mir KEINE gesagt, ich solle...
Kommentieren