Android-Spionagesoftware „Hermit“ entdeckt

Lookout, Inc. hat Android-Überwachungssoftware entdeckt, die auf Unternehmen abzielt. Sie wurde von der kasachischen Regierung innerhalb ihrer Grenzen eingesetzt, vier Monate nachdem landesweite Proteste gegen die Regierungspolitik gewaltsam unterdrückt wurden. Lookout-Forscher fanden außerdem Beweise für den Einsatz der Spyware „Hermit“  in Italien und im Nordosten Syriens.

Hermit wurde wahrscheinlich vom italienischen Spyware-Anbieter RCS Lab S.p.A. und von Tykelab Srl entwickelt, einem Unternehmen für Telekommunikationslösungen, das möglicherweise als Tarnfirma fungiert. RCS Lab, ein bekannter Entwickler, der in der Vergangenheit mit Ländern wie Syrien zu tun hatte, ist auf demselben Markt tätig wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat. Diese Entdeckung scheint das erste Mal zu sein, dass ein aktueller Kunde der mobilen Spionagesoftware von RCS Lab öffentlich identifiziert wurde.

Diese Unternehmen, die sich gemeinsam als „Lawful Intercept“-Unternehmen bezeichnen, behaupten, dass sie nur an Kunden verkaufen, die Überwachungsprogramme rechtmäßig nutzen, wie z. B. Geheimdienste und Strafverfolgungsbehörden. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Führungskräfte, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.

Hermit ist eine modulare Überwachungssoftware, die ihre bösartigen Fähigkeiten in Paketen versteckt, die nach ihrer Installation heruntergeladen werden. Den Forschern ist es gelungen, 16 der 25 bekannten Module zu erhalten und zu analysieren. Die Module ermöglichen es Hermit, zusammen mit den Berechtigungen der Kern-Malware, ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen, Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln.

„Diese Entdeckung gibt uns einen tiefen Einblick in die Aktivitäten eines Spyware-Anbieters und in die Funktionsweise hochentwickelter App-basierter Spyware“, erklärte Justin Albrecht, Threat Intelligence Researcher bei Lookout. „Wenn man bedenkt, wie anpassungsfähig Hermit ist, einschließlich seiner Anti-Analyse-Fähigkeiten und sogar der Art und Weise, wie es sorgfältig mit Daten umgeht, ist es klar, dass es sich um ein gut entwickeltes Tool handelt. Es wurde entwickelt, um Überwachungsfähigkeiten für nationalstaatliche Kunden bereitzustellen. Interessant ist auch, dass wir Kasachstan als einen wahrscheinlichen aktuellen Kunden von RCS Lab bestätigen konnten. Es kommt nicht oft vor, dass man den Kundenkreis eines Spyware-Anbieters identifizieren kann.“

Lookout-Forscher vermuten, dass die Spyware über SMS-Nachrichten verbreitet wird, die vorgeben, von einer legitimen Quelle zu stammen. Die analysierten Malware-Samples gaben sich als Anwendungen von Telekommunikationsunternehmen oder Smartphone-Herstellern aus. Hermit täuscht Benutzer, indem es die legitimen Webseiten der Marken, für die er sich ausgibt, aufruft, während es im Hintergrund bösartige Aktivitäten startet.