Hermit: Google analysiert italienischen Staatstrojaner

Der Staatstrojaner einer italienische Firma funktioniert sogar in Zusammenarbeit mit dem ISP. Dafür braucht es nicht zwingend ausgefallene Exploits.

Artikel veröffentlicht am ,
Ein Einsiedlerkrebs (englisch hermit crab).
Ein Einsiedlerkrebs (englisch hermit crab). (Bild: Pixabay)

Ein Staatstrojaner des italienischen Unternehmens RCS Labs ist genutzt worden, um Smartphones in Italien und Kasachstan auszuspionieren, wie Googles Threat Analysis Group (TAG) in einer aktuellen Untersuchung schreibt. Das Einschleusen des Trojaners geschieht demnach teils sogar mit aktiver Unterstützung des jeweiligen Providers der damit Angegriffenen, heißt es weiter.

Stellenmarkt
  1. Prozessmanager (m/w/d) LEAN Production
    Goldbeck GmbH, Bielefeld
  2. (Junior) Android Developer (m/w/d) InsurTech
    CHECK24, Hamburg
Detailsuche

Die Untersuchung von Googles TAG bezieht sich dabei auf eine ganze Familie von Malware und Trojanern, die auch das IT-Sicherheitsunternehmen Lookout bereits zuvor untersucht und beschrieben hat. Lookout nennt die Spyware Hermit und vergleicht deren Einsatzzweck mit dem Pegasus-Trojaner der NSO Group oder dem Finfisher der Gamma Group. Hermit soll laut Lookout außerdem in Nordost-Syrien von einem "unbekannten Akteur" eingesetzt worden sein.

Weitreichende Fähigkeiten, Angriff per SMS

Der Trojaner soll dazu in der Lage sein, Chat-Apps, Kamera, Mikrofon, Kontakte, Kalender, Browser oder auch die Zwischenablage auszuspionieren. Auch das Nachladen weiterer Schadsoftware soll mit Hermit möglich sein. Google und Lookout berichten übereinstimmend, dass zum Einschleusen des Trojaners SMS verwendet werden.

Der Mobile-ISP deaktiviere demnach in Zusammenarbeit mit Behörden die Datenverbindung des Ziels und schicke daraufhin eine SMS, die auf einen App-Download verweist, um die Datenverbindung wiederherzustellen. "Wir glauben, dass dies der Grund ist, warum sich die meisten Anwendungen als Anwendungen von Mobilfunkanbietern getarnt haben", heißt es dazu. Alternativ sind die Spyware-Apps als Messenger-Apps von Facebook-Mutter Meta getarnt worden.

Golem Karrierewelt
  1. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    10./11.10.2022, Virtuell
  2. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    11.-13.10.2022, Virtuell
Weitere IT-Trainings

Für das Side-Loading unter iOS, das eigentlich von den Vorkehrungen des Systems verhindert wird, setzt Hermit demnach auf die Signatur eines Unternehmens in Apples Developer Programm. Die Spyware nutzt darüber hinaus dann jenen Mechanismus, mit dem Unternehmen eigene interne Apps an ihre Angestellten verteilen können.

Für iOS nutzt der Trojaner darüber hinaus zahlreiche bereits bekannte Sicherheitslücken, die Apple auch schon geschlossen hat, sowie zwei von Google als Zero-Day-Exploits beschriebene Sicherheitslücken (CVE-2021-30883, CVE-2021-30983). Für Android fand das Team keine gesonderten Exploits, die legitim erscheinende App fragt stattdessen schlicht nach Berechtigungen.

Google schreibt dazu: "Diese Kampagne ist eine gute Erinnerung daran, dass Angreifer nicht immer Exploits verwenden, um die benötigten Berechtigungen zu erhalten. Einfache Infektionsvektoren und Drive-by-Downloads funktionieren immer noch und können mit Hilfe lokaler ISPs sehr effizient sein."

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Kabelnetz
Vodafone setzt neuartige Antennendosen ein

Ohne Radioport kommt die neue Antennendose und ist damit schon für DOCSIS 4.0 vorbereitet. Doch sie soll bereits jetzt Vorteile für Vodafone-Kunden bringen.

Kabelnetz: Vodafone setzt neuartige Antennendosen ein
Artikel
  1. Clop: Ransomwaregruppe erpresst scheinbar falsches Wasserwerk
    Clop
    Ransomwaregruppe erpresst scheinbar falsches Wasserwerk

    Eine Ransomwaregruppe hat sich nach einem Hack eines Wasserversorgungsunternehmens in Großbritannien offenbar vertan und ein anderes Werk erpresst.

  2. Hybridmagnet: Chinesische Forscher erzeugen Rekord-Magnetfeld
    Hybridmagnet
    Chinesische Forscher erzeugen Rekord-Magnetfeld

    Mit einem Hybridmagneten hat ein Team in China einen Rekord aus den USA für das stärkste stabile Magnetfeld überboten.

  3. MacTigr: Das Keyboard präsentiert mechanische Mac-Tastatur
    MacTigr
    Das Keyboard präsentiert mechanische Mac-Tastatur

    Die MacTigr ist eine speziell für Mac-Nutzer gedachte mechanische Tastatur mit USB-Hub, Cherry-Switches und Metallgehäuse.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Zotac RTX 3080 12GB 829€, Mac mini 16GB 1.047,26€, Samsung SSD 1TB/2TB (PS5) 111€/199,99€ • MindStar (Sapphire RX 6900XT 939€, G.Skill DDR4-3200 32GB 98€) • PS5 bestellbar • Games für PS5/PS4 bis 84% günstiger • Bester 2.000€-Gaming-PC[Werbung]
    •  /