Les chercheurs en sécurité de Lookout ont publié de nouveaux détails sur un logiciel espion Android déployé dans des attaques ciblées par des gouvernements nationaux, avec des victimes au Kazakhstan, en Syrie et en Italie.
Le logiciel espion, que Lookout nomme Hermit, a été détecté pour la première fois au Kazakhstan en avril, quelques mois seulement après que le gouvernement kazakh a violemment réprimé les manifestations contre les politiques gouvernementales. Lookout a déclaré qu’une entité gouvernementale kazakhe était probablement à l’origine de la campagne la plus récente. Le logiciel espion a également été déployé dans la région kurde du nord-est de la Syrie et par les autorités italiennes dans le cadre d’une enquête anti-corruption.
Lookout a obtenu un échantillon du logiciel malveillant Hermit Android, qui, selon eux, est modulaire, permettant au logiciel espion de télécharger des composants supplémentaires au fur et à mesure que le logiciel malveillant en a besoin. Le logiciel espion utilise les différents modules pour collecter les journaux d’appels, enregistrer l’audio, rediriger les appels téléphoniques et collecter des photos, des messages, des e-mails et l’emplacement précis de l’appareil, tout comme les autres logiciels espions. Lookout a toutefois déclaré que le logiciel espion avait la capacité de rooter les téléphones, en extrayant les fichiers de son serveur de commande et de contrôle nécessaires pour briser les protections de l’appareil et permettre un accès quasi illimité à un appareil sans interaction de l’utilisateur.
Dans un e-mail, le chercheur de Lookout, Paul Shunk, a déclaré que le malware pouvait s’exécuter sur toutes les versions d’Android. « Hermit vérifie la version Android de l’appareil exécutant l’application à différents moments afin d’adapter son comportement à la version du système d’exploitation. » Shunk a déclaré que cela « se démarque des autres logiciels espions basés sur des applications ».
On pense que l’application Android malveillante est distribuée par SMS usurpé pour donner l’impression que le message provient d’une source légitime, se faisant passer pour des applications d’entreprises de télécommunications et d’autres marques populaires, comme Samsung et le géant chinois de l’électronique Oppo, qui incite ensuite la victime à télécharger le application malveillante.
Lookout a déclaré qu’il y avait des preuves d’une application iOS infectée par Hermit qui, comme d’autres logiciels espions, abuse des certificats de développeur d’entreprise Apple pour charger son application malveillante de l’extérieur de l’App Store – le même comportement que Facebook et Google ont été pénalisés en contournant les règles de l’App Store d’Apple. . Lookout a déclaré qu’il n’était pas en mesure d’obtenir un échantillon du logiciel espion iOS.
Aujourd’hui, Lookout affirme que ses preuves indiquent qu’Hermit a été développé par le fournisseur italien de logiciels espions RCS Lab et Tykelab, une société de solutions de télécommunications, qui, selon Lookout, est une société écran. Un e-mail envoyé à une adresse e-mail sur le site Web de Tykelab a été renvoyé comme non livré. Un porte-parole de RCS Lab n’a pas renvoyé de demande de commentaire.
Hermit n’est que l’un des nombreux logiciels espions de qualité gouvernementale connus pour être utilisés par les autorités dans ce qui devient un marché occupé pour les exploits mobiles pour permettre aux gouvernements d’effectuer une surveillance téléphonique ciblée. Mais bon nombre de ces entreprises gouvernementales de piratage pour compte d’autrui, comme les entreprises israéliennes Candiru et NSO Group, sont utilisées par les États-nations et leurs autorités pour espionner leurs détracteurs les plus virulents, notamment les journalistes, les militants et les défenseurs des droits humains.
Vous pouvez envoyer des conseils en toute sécurité via Signal et WhatsApp au +1 646-755-8849. Vous pouvez également envoyer des fichiers ou des documents en utilisant notre SecureGoutte. Apprendre encore plus