Hermit Mobile Malware

El Hermit Malware es una amenaza móvil sofisticada y modular. Está diseñado para realizar numerosas acciones invasivas en los dispositivos violados, pero su funcionalidad principal es la de spyware. La amenaza puede obtener diferentes módulos corruptos de su servidor de comando y control (C2, C&C), según los objetivos específicos de los atacantes. La amenaza puede registrar llamadas, grabar audio del entorno circundante o directamente desde una llamada telefónica, recopilar fotos y videos, leer mensajes SMS y correos electrónicos, rastrear la ubicación del dispositivo infectado y más. El malware Hermit puede incluso rootear dispositivos Android para obtener privilegios aún más amplios. La amenaza supuestamente es desarrollada por una empresa de software italiana llamada RCS Lab.

Una publicación de blog del Threat Analysis Group (TAG) de Google reveló detalles sobre campañas amenazantes dirigidas a usuarios en Italia y Kazajstán. Los ciberdelincuentes enviaban a los usuarios un enlace único que conducía a una aplicación corrupta que afectaba tanto a los usuarios de Android como a los de iOS. Los expertos creen que, en algunos casos, los atacantes incluso trabajaron con el ISP (Proveedor de servicios de Internet) de los objetivos para deshabilitar su conectividad de datos móviles. El objetivo es luego enviar a la víctima un enlace corrupto a través de un mensaje SMS afirmando que los usuarios pueden recuperar su acceso a Internet si instalan la aplicación. Alternativamente, los ciberdelincuentes podrían disfrazar la aplicación amenazante como un cliente de mensajería.

La versión iOS de Hermit abusa de una técnica conocida como carga lateral. Las aplicaciones que contienen el malware están firmadas con un certificado de desarrollador empresarial, lo que les permite satisfacer todos los requisitos de firma de código de iOS. Además, seis vulnerabilidades diferentes, dos de las cuales son de día cero, se aprovechan como parte de la infección.