Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan
Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.
Hermit wordt waarschijnlijk ontwikkeld door de Italiaanse spyware-leverancier RCS Lab S.P.A. en TyKelab SRL, een bedrijf voor telecommunicatieoplossingen dat mogelijk als frontbedrijf opereert. RCS Lab, een bekende ontwikkelaar die eerder zaken heeft gedaan met landen als Syrië, is in dezelfde markt actief als Pegasus-ontwikkelaar NSO Group Technologies en Gamma Group, die de ‘Finfisher’-spyware ontwikkelde.
Deze bedrijven presenteren zich als legitieme ondernemingen en beweren dat ze hun software alleen verkopen aan klanten met een legitieme motivatie voor het gebruik van surveillanceware, zoals inlichtingendiensten en wetshandhavingsinstanties. In werkelijkheid zijn dergelijke tools in het verleden echter vaak misbruikt onder het mom van de nationale veiligheid, om directeuren van bedrijven, mensenrechtenactivisten, journalisten, academici en overheidsfunctionarissen te bespioneren. Dit lijkt de eerste keer te zijn dat een actuele klant van de mobiele spyware van RCS Lab publiekelijk kon worden geïdentificeerd.
Hermit is modulaire surveillanceware die zijn schadelijke mogelijkheden verbergt in modules die worden gedownload nadat het hoofdprogramma is geïnstalleerd. Onderzoekers wisten de hand te leggen op 16 van de 25 modules en konden deze analyseren. In combinatie met de machtigingen van de hoofdmalware stellen de modules Hermit in staat om een device dat ge-‘root’ is te misbruiken, om audio op te nemen, telefoongesprekken te starten en om te leiden, en om gegevens te verzamelen, zoals telefoonlogs, contactgegevens, foto's, de locatie van het device en sms -berichten. ‘Rooten’ is het dusdanig configureren van een device dat er meer rechten beschikbaar zijn en er meer apps geïnstalleerd kunnen worden.
“Deze ontdekking geeft ons dieper inzicht in de activiteiten van een spyware-leverancier en in de werking van geavanceerde, op apps gebaseerde spyware”, zegt Justin Albrecht, threat researcher bij Lookout. “Uit de brede maatwerkmogelijkheden van Hermit, inclusief mogelijkheden om analyse tegen te gaan en zelfs de zorgvuldige manier waarop het omgaat met data, blijkt dat dit een goed ontwikkelde tool is, ontworpen om surveillancemogelijkheden te bieden aan natiestaten. Wat ook interessant is, is dat we in staat waren om te bevestigen dat Kazachstan momenteel waarschijnlijk klant is van RCS Lab. Het komt niet vaak voor dat klanten van een spywareleverancier daadwerkelijk geïdentificeerd kunnen worden.”
De onderzoekers van Lookout vermoeden dat deze spyware wordt gedistribueerd via sms-berichten die afkomstig lijken van een legitieme zender. De geanalyseerde malwaresamples deden zich voor als de apps van telecommunicatiebedrijven of smartphonefabrikanten. Hermit leidt gebruikers om de tuin door de legitieme webpagina's van deze merken te tonen, terwijl op de achtergrond schadelijke activiteiten in gang worden gezet.
Lees de Lookout Research Blog of bezoek het Lookout Threat Lab voor meer informatie over Hermit.