Rządowa inwigilacja to nie tylko Pegasus. Spyware Hermit atakuje na Androidzie

Nowe spyware Hermit wykryli badacze z firmy Lookout Threat Lab. Ich zdaniem powstało ono we włoskiej spółce RCS Lab zajmującej się dystrybucją narzędzi szpiegowskich i było wykorzystywane w 2019 roku przez służby specjalne Włoch, w ramach prowadzonej w tym kraju akcji antykorupcyjnej.

Hermita wykryto jednak nie tylko w Kazachstanie, ale i wcześniej – w północno-wschodniej Syrii.

System ten jest dostępny na zasadach komercyjnych – i właśnie dlatego jest takim problemem. W praktyce nie ma żadnej kontroli nad tym, kto go użyje i przeciwko komu – zwłaszcza, jeśli będzie to rząd chcący inwigilować swoich obywateli.

Jak działa spyware Hermit?

Hermit oparty jest o architekturę modułową. Oznacza to, że początkowo na zainfekowanym telefonie instaluje się jedynie ograniczona pod kątem funkcji wersja tego oprogramowania, która może pobrać dodatkowe moduły z serwera i je aktywować, pozwalając na wykorzystanie pełni możliwości Hermita.

Dlaczego wybrano takie rozwiązanie? Przede wszystkim ze względu na to, że modułowa budowa tego spyware pozwala mu uniknąć wykrycia w przypadku analizy automatycznej, mającej na celu wykrycie malware, a w przypadku analizy manualnej znacząco utrudnia to zadanie.

Modułowe rozwiązanie umożliwia również operatorowi lepszą kontrolę nad spyware – może on dowolnie aktywować różne funkcje systemu szpiegującego i dobierać je w zależności od potrzeb.

Według analityków Lookout Threat Lab, istnieje również wersja Hermita na system iOS – jednak w tym przypadku badaczom nie udało się pozyskać próbki tego oprogramowania do analizy.

Spyware narzędziem rządów na całym świecie

Hermit to kolejne złośliwe oprogramowanie szpiegujące, o którym okazuje się, że wykorzystywane jest przez rząd do szpiegowania swoich obywateli.

Cały czas kompleksowo relacjonujemy na łamach naszego serwisu wszystko, co dotyczy bezprawnego użycia innego systemu szpiegowskiego – Pegasus, którego stosowano również i w Polsce do inwigilacji osób publicznych.

Według niedawnych analiz zespołu Google TAG, obecnie co najmniej osiem rządów różnych państw świata aktywnie wykupuje informacje o podatnościach typu zero-day systemu Android dla celów inwigilacji – a to zapewne dopiero wierzchołek góry lodowej.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].