Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan

Geavanceerde malware biedt surveillancemogelijkheden aan natiestaten

| Lookout | 3 min | 16 juni 2022 16:07
Afbeelding: Interactie met een slecht geconfigureerde C2-server onthulde het echte C2-IP-adres | Copyright: Lookout
Securitybedrijf Lookout heeft ontdekt dat Android-surveillanceware van enterprise niveau, momenteel door de regering van Kazachstan wordt gebruikt binnen de grenzen van het land. Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.

Hermit wordt waarschijnlijk ontwikkeld door de Italiaanse spyware-leverancier RCS Lab S.P.A. en TyKelab SRL, een bedrijf voor telecommunicatieoplossingen dat mogelijk als frontbedrijf opereert. RCS Lab, een bekende ontwikkelaar die eerder zaken heeft gedaan met landen als Syrië, is in dezelfde markt actief als Pegasus-ontwikkelaar NSO Group Technologies en Gamma Group, die de ‘Finfisher’-spyware ontwikkelde.

Deze bedrijven presenteren zich als legitieme ondernemingen en beweren dat ze hun software alleen verkopen aan klanten met een legitieme motivatie voor het gebruik van surveillanceware, zoals inlichtingendiensten en wetshandhavingsinstanties. In werkelijkheid zijn dergelijke tools in het verleden echter vaak misbruikt onder het mom van de nationale veiligheid, om directeuren van bedrijven, mensenrechtenactivisten, journalisten, academici en overheidsfunctionarissen te bespioneren. Dit lijkt de eerste keer te zijn dat een actuele klant van de mobiele spyware van RCS Lab publiekelijk kon worden geïdentificeerd.

Hermit is modulaire surveillanceware die zijn schadelijke mogelijkheden verbergt in modules die worden gedownload nadat het hoofdprogramma is geïnstalleerd. Onderzoekers wisten de hand te leggen op 16 van de 25 modules en konden deze analyseren. In combinatie met de machtigingen van de hoofdmalware stellen de modules Hermit in staat om een device dat ​​ge-‘root’ is te misbruiken, om audio op te nemen, telefoongesprekken te starten en om te leiden, en om gegevens te verzamelen, zoals telefoonlogs, contactgegevens, foto's, de locatie van het device en sms -berichten. ‘Rooten’ is het dusdanig configureren van een device dat er meer rechten beschikbaar zijn en er meer apps geïnstalleerd kunnen worden.

“Deze ontdekking geeft ons dieper inzicht in de activiteiten van een spyware-leverancier en in de werking van geavanceerde, op apps gebaseerde spyware”, zegt Justin Albrecht, threat researcher bij Lookout. “Uit de brede maatwerkmogelijkheden van Hermit, inclusief mogelijkheden om analyse tegen te gaan en zelfs de zorgvuldige manier waarop het omgaat met data, blijkt dat dit een goed ontwikkelde tool is, ontworpen om surveillancemogelijkheden te bieden aan natiestaten. Wat ook interessant is, is dat we in staat waren om te bevestigen dat Kazachstan momenteel waarschijnlijk klant is van RCS Lab. Het komt niet vaak voor dat klanten van een spywareleverancier daadwerkelijk geïdentificeerd kunnen worden.”

De onderzoekers van Lookout vermoeden dat deze spyware wordt gedistribueerd via sms-berichten die afkomstig lijken van een legitieme zender. De geanalyseerde malwaresamples deden zich voor als de apps van telecommunicatiebedrijven of smartphonefabrikanten. Hermit leidt gebruikers om de tuin door de legitieme webpagina's van deze merken te tonen, terwijl op de achtergrond schadelijke activiteiten in gang worden gezet.

Hoe vind je dit artikel?


Geef jij de eerste rating?

Content op basis van interesse of taal liever niet meer zien? Ga dan naar settings om eenvoudig je voorkeuren in te stellen.

Deel dit item
Over Lookout
Lookout levert geïntegreerde endpoint-to-cloud-beveiliging. Met een uit de cloud geleverd platform beveiligen we gegevens voor 's werelds toonaangevende ondernemingen en zorgen we ervoor dat ze voldoen aan de regelgeving met respect voor de privacy van hun team dat nu overal werkt. We worden ook vertrouwd door miljoenen individuen over de hele wereld om hun digitale identiteit en mobiele apparaten te beschermen.
Meer over Lookout
Disclaimer
Deze content is verkregen via óf is gebaseerd op een externe bron en valt daarmee buiten de verantwoordelijkheid van de redactie. Als de content een (gedeeltelijke) vertaling is van het origineel, dan is bij eventuele verschillen in betekenis de originele content leidend.
20191030101402.jpg
De grootste Nederlandse site over Android
20191029200614.jpg
Drive value with data
20200608191257.png
Dé leukste website op het gebied van zorg in Nederland
20191030103431.png
Conference by app developers, for app developers!
20200707165104.png
Meer meisjes en vrouwen in bèta, techniek en IT
20191030100036.png
Voor professionals met passie voor digitale revolutie!
© 2019-2022, alle rechten voorbehouden.
TechVisor
Het vizier op de tech industrie.