来自 Lookout 的安全研究团队近日披露了 Hermit 间谍软件的诸多细节。该间谍软件于今年 4 月首次发现,主要由政府部署,攻击目标主要集中在哈萨克斯坦、叙利亚和意大利。
Hermit 间谍软件最早于今年 4 月在哈萨克斯坦发现,而在几个月前哈萨克斯坦政府暴力镇压了针对政府政策的抗议活动。Lookout 表示该国的间谍活动应该很大程度上针对的是哈萨克斯坦当地的实体。此外该间谍软件还被部署在叙利亚东北部的库尔德地区,而且意大利当局也通过反腐败调查的一部分进行部署。
Lookout 获得了 Hermit Android 恶意软件的样本,他们称该恶意软件是模块化的,允许间谍软件根据恶意软件的需要下载其他组件。间谍软件使用各种模块来收集通话记录、录制音频、重定向电话并收集照片、消息、电子邮件和设备的精确位置。
不过,Lookout 表示,该间谍软件具有 root 手机的能力,方法是从其命令和控制服务器中提取所需的文件,以打破设备的保护并允许在没有用户交互的情况下几乎不受限制地访问设备。
Lookout 研究员 Paul Shunk 在一封电子邮件中表示,该恶意软件可以在所有 Android 版本上运行。 “Hermit 会在不同时间检查运行应用程序的设备的 Android 版本,以使其行为适应操作系统的版本”。
据信,恶意 Android 应用程序是通过伪造的短信分发的,看起来消息来自合法来源,冒充电信公司和其他流行品牌的应用程序,然后诱骗受害者下载恶意应用。
Lookout 表示,有证据表明一个受 Hermit 感染的 iOS 应用程序与其他间谍软件一样,滥用 Apple 企业开发人员证书从应用程序商店外部加载其恶意应用程序——Facebook 和Google因绕过 Apple 的应用程序商店规则而受到惩罚。 . Lookout 表示无法获得 iOS 间谍软件的样本。
现在 Lookout 说它的证据表明 Hermit 是由意大利间谍软件供应商 RCS Lab 和 Tykelab 开发的,这是一家电信解决方案公司,Lookout 说这是一家幌子公司。发送到 Tykelab 网站上的电子邮件地址的电子邮件因未送达而被退回。 RCS Lab 的发言人没有回复置评请求。