Lookout’taki güvenlik araştırmacıları, ulusal hükümetler tarafından Kazakistan, Suriye ve İtalya’da kurbanlara yönelik hedefli saldırılarda kullanılan Hermit adını verdikleri bir Android casus yazılımı hakkında yeni ayrıntılar yayınladı.
Yazılım, ilk olarak Kazakistan’da, Kazak hükümetinin hükümet politikalarına karşı protestoları şiddete başvurarak bastırmasından sadece aylar sonra, Nisan ayında tespit edildi. Lookout, en son kampanyanın arkasında muhtemelen bir Kazak hükümet biriminin olduğunu söyledi. Casus yazılım, yolsuzlukla mücadele soruşturmasının bir parçası olarak Suriye’nin kuzeydoğu Kürt bölgesinde ve İtalyan makamları tarafından da konuşlandırıldı.
Lookout, modüler olduğunu söyledikleri, casus yazılımın kötü amaçlı yazılımın ihtiyaç duyduğu şekilde ek bileşenler indirmesine izin veren Hermit Android kötü amaçlı yazılımının bir örneğini aldı. Casus yazılım, diğer casus yazılımlar gibi arama günlüklerini toplamak, ses kaydetmek, telefon aramalarını yeniden yönlendirmek ve fotoğrafları, mesajları, e-postaları ve cihazın kesin konumunu toplamak için çeşitli modülleri kullanmaktadır. Ancak Lookout, casus yazılımın, cihazın korumasını kırmak ve kullanıcı etkileşimi olmadan bir cihaza neredeyse sınırsız erişime izin vermek için gereken komut ve kontrol sunucusundan dosyaları çekerek telefonları rootladığını söyledi.
Lookout araştırmacısı Paul Shunk bir e-postada, bu kötü amaçlı yazılımın tüm Android sürümlerinde çalışabileceğini söyledi. “Hermit, hareketini işletim sisteminin sürümüne uyarlamak için uygulamayı çalıştıran cihazın Android sürümünü çeşitli zamanlarda kontrol eder.” Shunk, bunun “diğer uygulama tabanlı casus yazılımlardan sıyrıldığını” söyledi.
Kötü amaçlı Android uygulamasının, mesajın meşru bir kaynaktan geldiği izlenimi uyandıran, telekom şirketlerinin ve Samsung ve Çin elektronik devi Oppo gibi diğer popüler markaların uygulamalarının kimliğine bürünen ve daha sonra kurbanı uygulamayı indirmesi için aldatan kısa mesajlarla dağıtıldığı düşünülüyor.
Lookout, diğer casus yazılımlar gibi , kötü amaçlı uygulamasını uygulama mağazasının dışından yüklemek için Apple kurumsal geliştirici sertifikalarını kötüye kullanan Hermit bulaşmış bir iOS uygulamasının kanıtları olduğunu söyledi – aynı davranış Facebook ve Google , Apple’ın uygulama mağazası kurallarını atlayarak cezalandırıldı. Lookout, iOS casus yazılımının bir örneğini almanın olanaksız olduğunu söyledi.
Lookout, kanıtlarının Hermit’in İtalyan casus yazılım satıcısı RCS Lab ve Lookout’un paravan şirket olduğunu söylediği bir telekom çözümleri şirketi olan Tykelab tarafından geliştirildiğini gösterdiğini söylüyor. Tykelab’ın web sitesindeki bir e-posta adresine gönderilen bir e-posta, teslim edilmediği için iade edildi. RCS Lab’ın bir sözcüsü, yorum için bir talepte bulunmadı.
Hermit, hükümetlerin hedefli telefon gözetimi yapmasına izin vermek için mobil istismarlar için yoğun bir pazar haline gelen bu pazarda yetkililer tarafından kullanıldığı bilinen birkaç hükümet sınıfı casus yazılımdan sadece biridir. Ancak İsrailli şirketler Candiru ve NSO Group gibi kiralık hükümet şirketlerinin çoğu, ulus devletler ve yetkilileri tarafından gazeteciler, aktivistler ve insan hakları savunucuları da dahil olmak üzere en yüksek sesli eleştirmenlerini gözetlemek için kullanılıyor.
