Android-приложение обнаружили исследователи Lookout Threat Lab. С его помощью злоумышленники могут получать доступ как к встроенным приложениям смартфона, вроде адресной книги и камеры, так и загруженным – например, WhatsApp и Telegram. По словам специалистов, жертвами Hermit становились руководители предприятий, правозащитники, журналисты, ученые и чиновники.
Интересно Cloudflare отразила рекордную DDoS-атаку мощностью в 26 миллионов запросов в секунду.
Что известно
Hermit, которого вполне можно назвать вирусом, распространяется с помощью поддельного SMS, выглядящего так, будто поступило от официального источника — оператора, бренда, банка. В текстовом сообщении есть ссылка, после перехода на которую и загружается приложение.
- По данным Lookout, программу Hermit, скорее всего, разработала итальянская компания RCS Lab и ее структура Tykelab Srl, официально занимающиеся телекоммуникационными решениями. В 2012 году она была реселлером другого итальянского поставщика шпионского ПО HackingTeam, ныне известного как Memento Labs.
- Переписка между двумя компаниями показала, что RCS Lab взаимодействовала с военными и спецслужбами Пакистана, Чили, Монголии, Бангладеш, Вьетнама, Мьянмы и Туркменистана.
- Исследователи по кибербезопасности также заявили, что известно и о версии Hermit для iOS, но им "не удалось получить образец для анализа".
Сложный анализ Lookout показывает, что Hermit не только был развернут в Казахстане, но и что за кампанией стоит правительство. Впервые ее заметили в апреле 2022 года и называлась она "oppo.service" – операторы маскировались под китайского производителя электроники Oppo. Кроме того, найдены образцы, выдающие себя за Samsung и Vivo.
Hermit могли использовать не только в Казахстане: ранее ПО, похоже, разворачивали власти Италии во время "антикоррупционной операции", а затем в курдоязычном регионе на северо-востоке Сирии.