Wie Googles Threat Analysis Group (TAG) in einem Blogbeitrag schreibt, bekommt die Spyware Hermit des italienischen Unternehmens RCS Hilfe von den jeweiligen Internetdienstanbietern, die Nutzer:innen dazu verleiten, Schadsoftware herunterzuladen. Das bestätigte das IT-Sicherheitsunternehmen Lookout.

Die Untersuchung bezieht sich auf eine ganze Familie von Trojanern, die Lookout bereits zuvor untersucht und beschrieben hat. Laut dem IT-Sicherheitsunternehmen arbeitet RCS Labs in der gleichen Branche wie die NSO Group, die Firma, die hinter dem Pegasus-Trojaner steht, und verkauft kommerzielle Spyware an verschiedene Regierungsbehörden.

Die Forscher:innen von Lookout und TAG glauben, dass Hermit bereits von der Regierung Kasachstans und von italienischen Behörden eingesetzt wurde, um damit Smartphones auszuspionieren. Google konnte Opfer in beiden Ländern identifizieren und sagte, es habe „die Android-Benutzer:innen über infizierte Geräte benachrichtigt“ und Google Play Protect aktualisiert, um die Ausführung der App zu blockieren.

Der Trojaner ist eine modulare Überwachungssoftware, die ihre bösartigen Fähigkeiten in Paketen versteckt, die nach ihrer Installation heruntergeladen werden. Dadurch kann die Spyware auf Chat-Apps, Kamera, Mikrofon, Kontakte, Kalender und Browser zugreifen oder auch die Zwischenablage ausspionieren. Hermit ist auch in der Lage, Audio aufzuzeichnen, Telefonanrufe zu tätigen und abzufangen sowie ein Android-Gerät zu rooten, wodurch es die volle Kontrolle über sein Kernbetriebssystem erhält. „Wenn man bedenkt, wie anpassungsfähig Hermit ist, einschließlich seiner Anti-Analyse-Fähigkeiten und sogar der Art und Weise, wie es sorgfältig mit Daten umgeht, ist es klar, dass es sich um ein gut entwickeltes Tool handelt“, sagte Justin Albrecht, Threat-Intelligence-Researcher bei Lookout.

Die Spyware kann sowohl Android als auch iPhones infizieren, indem sie sich als legitime Quelle tarnt und typischerweise die Form eines Mobilfunkanbieters oder einer Messenger-App annimmt. Wie die Studie ebenfalls herausfand, wurden einige Angriffe tatsächlich in Zusammenarbeit mit ISP ausgeführt, um die mobilen Daten ihrer Opfer abzuschalten. Dabei werden SMS an die User:innen verschickt, die sich als deren Mobilfunkanbieter ausgeben und die Nutzer:innen glauben lassen, dass ein bösartiger App-Download ihre Internetverbindung wiederherstellen würde.

In Zusammenarbeit mit den Behörden deaktiviere der Mobilfunkanbieter demnach die Datenverbindung des Ziels und sende daraufhin eine SMS, die auf einen App-Download verweist, um die Datenverbindung wiederherzustellen. „Wir glauben, dass dies der Grund ist, warum sich die meisten Apps als Anwendungen von Mobilfunkanbietern getarnt haben“, heißt es dazu. Alternativ gab sich die Spyware als scheinbar authentische Messenger-App aus, die Benutzer:innen zum Herunterladen verleitete.

Forscher:innen von Lookout und TAG konnten weder die Android- noch die iOS-Version der Hermit-Spyware in den App-Stores finden. Die infizierten Apps sollen aber auf iOS verteilt worden sein, als sich Angreifer beim Developer Enterprise Program von Apple anmeldeten. Damit konnte der standardmäßige Überprüfungsprozess des App-Stores umgangen werden, um ein Zertifikat zu erhalten, das „alle iOS-Codesignaturanforderungen auf allen iOS-Geräten erfüllt“.

Für iOS nutzt der Trojaner außerdem verschiedene bereits bekannte Sicherheitslücken, die Apple auch schon geschlossen hat, sowie zwei von Google als Zero-Day-Exploits beschriebene Sicherheitslücken (CVE-2021-30883, CVE-2021-30983). Wie The Verge berichtet, teilte Apple mit, dass es seitdem alle mit der Bedrohung verbundenen Konten oder Zertifikate widerrufen habe.