Android-додаток виявили дослідники Lookout Threat Lab. З його допомогою зловмисники можуть отримувати доступ як до вбудованих додатків смартфона, на зразок адресної книги та камери, так і завантаженим – наприклад, WhatsApp і Telegram. За словами спеціалістів, жертвами Hermit ставали керівники підприємств, правозахисники, журналісти, вчені та урядовці.
Цікаво Cloudflare відбила рекордну DDoS-атаку потужністю в 26 мільйонів запитів за секунду
Що відомо
Hermit, якого цілком можна назвати вірусом, поширюється за допомогою підробного SMS, яке виглядає так, як ніби надійшло від офіційного джерела — оператора, бренду, банку. У текстовому повідомленні є посилання, після переходу на який і завантажується додаток.
- За даними Lookout, програму Hermit, швидше за все, розробила італійська компанія RCS Lab та її структура Tykelab Srl, які офіційно займаються телекомунікаційними рішеннями. У 2012 році вона була реселером іншого італійського постачальника шпигунського ПЗ HackingTeam, нині відомого як Memento Labs.
- Листування між двома компаніями показало, що RCS Lab взаємодіяла з військовими та спецслужбами Пакистану, Чилі, Монголії, Бангладеш, В'єтнаму, М'янми та Туркменістану.
- Дослідники з кібербезпеки також заявили, що відомо й про версію Hermit для iOS, але їм "не вдалося отримати зразок для аналізу".
Складний аналіз Lookout показує, що Hermit не тільки був розгорнутий у Казахстані, але й що за кампанією стоїть уряд. Вперше її помітили в квітні 2022 року і називалася вона "oppo.service" – оператори маскувалися під китайського виробника електроніки Oppo. Крім того, знайдено зразки, які видають себе за Samsung і Vivo.
Hermit могли використовувати не тільки в Казахстані: раніше ПО, схоже, розгортала влада Італії під час "антикорупційної операції", а потім в курдомовному регіоні на північному сході Сирії.