Eine unternehmenstaugliche Überwachungssoftware mit dem Namen Hermit wurde seit 2019 von Organisationen in Kasachstan, Syrien und Italien eingesetzt, wie neue Untersuchungen zeigen.
Lookout schreibt die Spionagesoftware, die sowohl für Android als auch für iOS geeignet ist, einem italienischen Unternehmen namens RCS Lab S.p.A. und dem Telekommunikationsdienstleister Tykelab Srl zu, von dem es vermutet, dass es sich um eine Scheinfirma handelt. Das in San Francisco ansässige Cybersicherheitsunternehmen gab an, die auf Kasachstan gerichtete Kampagne im April 2022 entdeckt zu haben.
Hermit ist modular aufgebaut und verfügt über unzählige Funktionen, die es ihm ermöglichen, „ein gerootetes Gerät auszunutzen, Audio aufzuzeichnen und Telefonanrufe zu tätigen und umzuleiten sowie Daten wie Anrufprotokolle, Kontakte, Fotos, den Standort des Geräts und SMS-Nachrichten zu sammeln“, so die Lookout-Forscher Justin Albrecht und Paul Shunk in einem neuen Bericht.
Es wird vermutet, dass die Spyware über SMS-Nachrichten verbreitet wird, die die Nutzer/innen dazu verleiten, scheinbar harmlose Apps von Samsung, Vivo und Oppo zu installieren, die beim Öffnen eine Website des angeblichen Unternehmens laden und im Hintergrund die Kill Chain aktivieren.
Wie andere Android-Malware ist auch Hermit so konzipiert, dass er den Zugang zu Zugangsdiensten und anderen Kernkomponenten des Betriebssystems (z. B. Kontakte, Kamera, Kalender, Zwischenablage usw.) für seine bösartigen Aktivitäten missbraucht.
Android-Geräte waren schon in der Vergangenheit Ziel von Spionageprogrammen. Im November 2021 wurde der als APT-C-23 (auch bekannt als Arid Viper) verfolgte Bedrohungsakteur mit einer Angriffswelle in Verbindung gebracht, die sich mit neuen Varianten von FrozenCell gegen Nutzer im Nahen Osten richtete.
Letzten Monat deckte die Threat Analysis Group (TAG) von Google auf, dass zumindest von der Regierung unterstützte Akteure in Ägypten, Armenien, Griechenland, Madagaskar, der Elfenbeinküste, Serbien, Spanien und Indonesien Android-Zero-Day-Exploits für verdeckte Überwachungskampagnen kaufen.
„RCS Lab, ein bekannter Entwickler, der seit über drei Jahrzehnten aktiv ist, operiert auf demselben Markt wie der Pegasus-Entwickler NSO Group Technologies und die Gamma Group, die FinFisher entwickelt hat“, so die Forscher.
„Sie behaupten, dass sie nur an Kunden verkaufen, die Überwachungsprogramme rechtmäßig nutzen, wie z. B. Geheimdienste und Strafverfolgungsbehörden. In Wirklichkeit wurden solche Tools oft unter dem Deckmantel der nationalen Sicherheit missbraucht, um Führungskräfte, Menschenrechtsaktivisten, Journalisten, Akademiker und Regierungsbeamte auszuspionieren.“
Die Erkenntnisse kommen zu einem Zeitpunkt, an dem die in Israel ansässige NSO Group angeblich Gespräche über den Verkauf ihrer Pegasus-Technologie an das US-Verteidigungsunternehmen L3Harris führt, das auch die StingRay-Handyortungsgeräte herstellt, was die Befürchtung aufkommen lässt, dass dies den Strafverfolgungsbehörden Tür und Tor für den Einsatz des umstrittenen Hacking-Tools öffnen könnte.
Der deutsche Hersteller von FinFisher hat nach Razzien der Ermittlungsbehörden wegen mutmaßlicher Verstöße gegen das Außenhandelsgesetz, weil er seine Spionagesoftware in der Türkei verkauft hat, ohne die erforderliche Lizenz zu besitzen, selbst mit Problemen zu kämpfen.
Anfang März dieses Jahres stellte das Unternehmen seinen Betrieb ein und meldete Insolvenz an, berichteten Netzpolitik und Bloomberg und fügten hinzu: „Das Büro wurde aufgelöst, die Mitarbeiter entlassen und der Geschäftsbetrieb eingestellt.“