Lookout ontdekt dat Android spyware ‘Hermit’ wordt ingezet in Kazakhstan

Lookout - logo - 2022

Securitybedrijf Lookout heeft ontdekt dat Android-surveillanceware van enterprise niveau, momenteel door de regering van Kazachstan wordt gebruikt binnen de grenzen van het land. Onderzoekers van Lookout troffen ook bewijs van de inzet van deze spyware - die door onderzoekers ‘Hermit’ is genoemd - in Italië en in het noordoosten van Syrië.

Hermit wordt waarschijnlijk ontwikkeld door de Italiaanse spyware-leverancier RCS Lab S.P.A. en TyKelab SRL, een bedrijf voor telecommunicatieoplossingen dat mogelijk als frontbedrijf opereert. RCS Lab, een bekende ontwikkelaar die eerder zaken heeft gedaan met landen als Syrië, is in dezelfde markt actief als Pegasus-ontwikkelaar NSO Group Technologies en Gamma Group, die de ‘Finfisher’-spyware ontwikkelde.

Deze bedrijven presenteren zich als legitieme ondernemingen en beweren dat ze hun software alleen verkopen aan klanten met een legitieme motivatie voor het gebruik van surveillanceware, zoals inlichtingendiensten en wetshandhavingsinstanties. In werkelijkheid zijn dergelijke tools in het verleden echter vaak misbruikt onder het mom van de nationale veiligheid, om directeuren van bedrijven, mensenrechtenactivisten, journalisten, academici en overheidsfunctionarissen te bespioneren. Dit lijkt de eerste keer te zijn dat een actuele klant van de mobiele spyware van RCS Lab publiekelijk kon worden geïdentificeerd.

Hermit is modulaire surveillanceware die zijn schadelijke mogelijkheden verbergt in modules die worden gedownload nadat het hoofdprogramma is geïnstalleerd. Onderzoekers wisten de hand te leggen op 16 van de 25 modules en konden deze analyseren. In combinatie met de machtigingen van de hoofdmalware stellen de modules Hermit in staat om een device dat ​​ge-‘root’ is te misbruiken, om audio op te nemen, telefoongesprekken te starten en om te leiden, en om gegevens te verzamelen, zoals telefoonlogs, contactgegevens, foto's, de locatie van het device en sms -berichten. ‘Rooten’ is het dusdanig configureren van een device dat er meer rechten beschikbaar zijn en er meer apps geïnstalleerd kunnen worden.

“Deze ontdekking geeft ons dieper inzicht in de activiteiten van een spyware-leverancier en in de werking van geavanceerde, op apps gebaseerde spyware”, zegt Justin Albrecht, threat researcher bij Lookout. “Uit de brede maatwerkmogelijkheden van Hermit, inclusief mogelijkheden om analyse tegen te gaan en zelfs de zorgvuldige manier waarop het omgaat met data, blijkt dat dit een goed ontwikkelde tool is, ontworpen om surveillancemogelijkheden te bieden aan natiestaten. Wat ook interessant is, is dat we in staat waren om te bevestigen dat Kazachstan momenteel waarschijnlijk klant is van RCS Lab. Het komt niet vaak voor dat klanten van een spywareleverancier daadwerkelijk geïdentificeerd kunnen worden.”

De onderzoekers van Lookout vermoeden dat deze spyware wordt gedistribueerd via sms-berichten die afkomstig lijken van een legitieme zender. De geanalyseerde malwaresamples deden zich voor als de apps van telecommunicatiebedrijven of smartphonefabrikanten. Hermit leidt gebruikers om de tuin door de legitieme webpagina's van deze merken te tonen, terwijl op de achtergrond schadelijke activiteiten in gang worden gezet.

Lees de Lookout Research Blogof bezoek het Lookout Threat Lab

Lees ook
Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web

Onderzoek Venafi onthult bloeiende ransomware-marktplaats op het dark web

Venafi maakt de resultaten bekend van een dark web-onderzoek naar ransomware die via kwaadaardige macro's wordt verspreid. Venafi en Forensic Pathways, een specialist in criminele inlichtingen, hebben tussen november 2021 en maart 2022 35 miljoen dark web-URL's geanalyseerd van marktplaatsen en forums, met behulp van de Forensic Pathways Dark Search...

Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's

Proofpoint: Cybercriminelen bereiden zich voor op een wereld zonder macro's

Microsoft kondigde in oktober 2021 en februari 2022 aan dat het XL4- en VBA-macro's standaard gaat blokkeren voor Office-gebruikers. De wijzigingen zijn uiteindelijk dit jaar van start gegaan. Cybercriminelen hebben hier op gereageerd door af te stappen van macro-gebaseerde aanvallen.

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Wat te doen als je het slachtoffer wordt van een ransomware-aanval

Als je een IT-beheerder vraagt waar hij van wakker ligt zal het antwoord zeer vaak ‘ransomware’ zijn. Logisch, want elke medewerker kan door simpelweg op een link te klikken of een kwaadaardig bestand te downloaden zonder het te weten een ransomware-aanval ontketenen. In hun wanhoop zijn organisaties al snel geneigd om losgeld te betalen om weer toegang...