Android-Spionagesoftware „Hermit“ entdeckt

Lookout, Inc. hat Android-Überwachungssoftware entdeckt, die auf Unternehmen abzielt. Sie wurde von der kasachischen Regierung innerhalb ihrer Grenzen eingesetzt, vier Monate nachdem landesweite Proteste gegen die Regierungspolitik gewaltsam unterdrückt wurden. Lookout-Forscher fanden außerdem Beweise für den Einsatz der Spyware „Hermit“  in Italien und im Nordosten Syriens.

Hermit wurde wahrscheinlich vom italienischen Spyware-Anbieter RCS Lab S.p.A. und von Tykelab Srl entwickelt, einem Unternehmen für Telekommunikationslösungen, das möglicherweise als Tarnfirma fungiert. RCS Lab, ein bekannter Entwickler, der in der Vergangenheit mit Ländern wie Syrien zu tun hatte, ist auf demselben Markt tätig wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat. Diese Entdeckung scheint das erste Mal zu sein, dass ein aktueller Kunde der mobilen Spionagesoftware von RCS Lab öffentlich identifiziert wurde.

Diese Unternehmen, die sich gemeinsam als „Lawful Intercept“-Unternehmen bezeichnen, behaupten, dass sie nur an Kunden verkaufen, die Überwachungsprogramme rechtmäßig nutzen, wie z. B. Geheimdienste und Strafverfolgungsbehörden. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Führungskräfte, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.

Hermit ist eine modulare Überwachungssoftware, die ihre bösartigen Fähigkeiten in Paketen versteckt, die nach ihrer Installation heruntergeladen werden. Den Forschern ist es gelungen, 16 der 25 bekannten Module zu erhalten und zu analysieren. Die Module ermöglichen es Hermit, zusammen mit den Berechtigungen der Kern-Malware, ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen, Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln.

„Diese Entdeckung gibt uns einen tiefen Einblick in die Aktivitäten eines Spyware-Anbieters und in die Funktionsweise hochentwickelter App-basierter Spyware“, erklärte Justin Albrecht, Threat Intelligence Researcher bei Lookout. „Wenn man bedenkt, wie anpassungsfähig Hermit ist, einschließlich seiner Anti-Analyse-Fähigkeiten und sogar der Art und Weise, wie es sorgfältig mit Daten umgeht, ist es klar, dass es sich um ein gut entwickeltes Tool handelt. Es wurde entwickelt, um Überwachungsfähigkeiten für nationalstaatliche Kunden bereitzustellen. Interessant ist auch, dass wir Kasachstan als einen wahrscheinlichen aktuellen Kunden von RCS Lab bestätigen konnten. Es kommt nicht oft vor, dass man den Kundenkreis eines Spyware-Anbieters identifizieren kann.“

Lookout-Forscher vermuten, dass die Spyware über SMS-Nachrichten verbreitet wird, die vorgeben, von einer legitimen Quelle zu stammen. Die analysierten Malware-Samples gaben sich als Anwendungen von Telekommunikationsunternehmen oder Smartphone-Herstellern aus. Hermit täuscht Benutzer, indem es die legitimen Webseiten der Marken, für die er sich ausgibt, aufruft, während es im Hintergrund bösartige Aktivitäten startet.

ZDNet.de Redaktion

Recent Posts

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

14 Stunden ago

Bedrohungen in Europa: Schwachstellen in der Lieferkette dominieren

Hinter 84 Prozent der Zwischenfälle bei Herstellern stecken Schwachstellen in der Lieferkette. Auf dem Vormarsch…

21 Stunden ago

Bericht: Apple arbeitet an faltbarem iPad

Es kommt angeblich 2028 auf den Markt. Das aufgeklappte Gerät soll die Displayfläche von zwei…

2 Tagen ago

HPE baut Supercomputer am Leibniz-Rechenzentrum

Das System basiert auf Hardware von HPE-Cray und Nvidia. Die Inbetriebnahme erfolgt 2027.

2 Tagen ago

Bund meldet Fortschritte in der Netzversorgung

Die Bundesnetzagentur hat ihr Gigabit-Grundbuch aktualisiert. Drei von vier Haushalten sollen jetzt Zugang zu Breitbandanschlüssen…

2 Tagen ago

Vorinstallierte Schadsoftware auf IoT-Geräten

Mit dem Internet verbundene Digitale Bilderrahmen oder Mediaplayer können mit Schadsoftware infiziert werden und sind…

5 Tagen ago