Wat is Hermit-spyware? | meshable

Een paar dagen geleden leken artikelen (waaronder die van ons) over de Hermit-spyware de interesse van lezers te wekken.

Gedetailleerd door Google’s Threat Analysis Group (TAG) Hermit-spyware (het werd Hermit genoemd door beveiligingsbedrijf Lookout, dat voor het eerst de ontdekking meldde) maakt deel uit van een gevaarlijke en geavanceerde malware-aanval die actief in het wild wordt ingezet. Aanvallers gebruiken zero-day-kwetsbaarheden (die nog niet zijn gepatcht) en andere gevaarlijke exploits in Android- en iOS-code om malware te leveren die de controle over het iOS- of Android-apparaat van iemand anders kan overnemen.

De meeste nieuwsuitzendingen concentreerden zich op het ‘nieuws’-gedeelte van het verhaal. Maar zoals we in deze Reddit-thread hebben gezien, willen gebruikers echt (en terecht) weten hoe ze zichzelf precies kunnen beschermen tegen deze dreiging, hoe ze kunnen weten of je apparaat is geïnfecteerd en zo ja, hoe ze van de spyware af kunnen komen.

We hebben goed nieuws en slecht nieuws.

De aanval

Het slechte nieuws is dat, indien correct uitgevoerd, dit een geavanceerde aanval is die bijna iedereen voor de gek kan houden. Een tactiek die de aanvallers per TAG gebruiken, is om samen te werken met de ISP van het doelwit om de mobiele dataverbinding van het doelwit uit te schakelen en hen een kwaadaardige link te sms’en om opnieuw verbinding te maken – en de malware te installeren.

Het is onduidelijk of de aanvallers de ISP’s daadwerkelijk hebben misleid om deel te nemen aan de aanval, of dat ze een insider hadden die deze acties voor hen kon uitvoeren, maar het resultaat is angstaanjagend gevaarlijk. Stel je voor dat je telefoon de mobiele dataverbinding verliest en dan krijg je onmiddellijk een bericht van je provider met de melding: “Ja, we weten dat de dataverbinding van je telefoon niet werkt. Hier is een link om het te repareren.’ Als u niet op de hoogte was van deze specifieke aanval, zou u er waarschijnlijk zonder aarzelen op klikken.

ZIE OOK:

Google waarschuwt voor “hermit spyware” die Android- en iOS-apparaten infecteert

Een andere tactiek was om links naar overtuigende, bedrieglijke versies van populaire apps zoals Facebook en Instagram te sturen, waardoor de telefoon van het doelwit geïnfecteerd raakte.

Een voorbeeld van het vragen van het doelwit om malware-apps te installeren.
Tegoed: Google TAG

Op Apple-apparaten gebruikten aanvallers fouten in de protocollen van het bedrijf om apps te distribueren die de App Store kunnen omzeilen, maar onderworpen zijn aan dezelfde beveiligingsmechanismen. Met andere woorden, deze kwaadaardige applicaties kunnen op iOS-apparaten draaien zonder dat het systeem er iets abnormaals aan ziet. Eén zo’n app bevatte kwetsbaarheden die volgens TAG-analyse door zes verschillende exploits konden worden uitgebuit en ze konden interessante bestanden van het apparaat, zoals een WhatsApp-database, naar derden sturen.

TAG geeft niet veel informatie over wat er gebeurt als het apparaat van een doelwit geïnfecteerd raakt. Maar hier is nog meer slecht nieuws: als een aanvaller toegang heeft tot bronnen om dit type aanval uit te voeren, kan hij waarschijnlijk malware inzetten die moeilijk of onmogelijk te detecteren of te verwijderen is. En het kan (bijna) alles zijn: software die je telefoongesprekken afluistert, je berichten leest, toegang krijgt tot je camera, noem maar op. Antimalwaresoftware kan er misschien enkele detecteren, of u in ieder geval laten weten dat er iets mis is, maar het beschermen van uw apparaat tegen infectie moet uw eerste zorg zijn.

Maar waarom vonden de aanvallen plaats?

Volgens TAG worden deze aanvallen en malware gebruikt door RCS Lab, een Italiaans bedrijf dat zegt samen te werken met overheden (de slogan is dat ze “technologische oplossingen en technische ondersteuning bieden aan wetshandhavingsinstanties over de hele wereld”), in een verklaring aan Laut TechCrunch het bedrijf “exporteert zijn producten in overeenstemming met nationale en Europese wet- en regelgeving” en “verkoopt of implementeert producten pas na officiële goedkeuring van de relevante autoriteiten”.

Dit soort aanvallen zouden in theorie beperkt moeten blijven tot zeer specifieke doelen zoals journalisten, activisten en politici. TAG heeft ze alleen in actie gezien in twee landen, Italië en Kazachstan (Lookout voegt ook Syrië toe aan die lijst). Dat is natuurlijk behoorlijk afschuwelijk – regeringen kopen spyware van louche verkopers en gebruiken het dan om iemand aan te vallen waarvan ze denken dat het hun vijand is – maar dat is de wereld waarin we leven.

Het zijn niet alleen RCS Lab en Hermit. TAG beweert meer dan 30 leveranciers te volgen die “exploits of monitoringmogelijkheden verkopen aan door de overheid gesteunde actoren”. Deze leveranciers omvatten bedrijven zoals het in Noord-Macedonië gevestigde Cytrox en zijn ALIEN/PREDATOR-spyware, en de Israëlische NSO Group, bekend om zijn Pegasus-spyware.

Het goede nieuws, als je het zo mag noemen, is dat dit soort aanvallen zich waarschijnlijk niet massaal zullen verspreiden naar apparaten van honderden miljoenen gebruikers. De mensen die deze tools gebruiken, bouwen geen spambotnetwerk op, ze richten zich op specifieke individuen. Maar het is nog steeds belangrijk dat iedereen weet hoe ze zichzelf kunnen beschermen tegen geavanceerde aanvallen zoals deze, omdat je nooit weet wanneer je de “aangewezen persoon” op de lijst van een “wetshandhavingsinstantie” wordt.

Hoe bescherm je jezelf tegen dergelijke malware-aanvallen?

Een typische zin die u van beveiligingsprofessionals krijgt, is dat u nooit iets installeert van een partij die u niet vertrouwt, of op een link klikt die is geplaatst door iemand die u niet kent. Dit is een beetje moeilijker te implementeren als uw ISP betrokken is bij de zwendel en u links stuurt om uw gegevensverbinding te “repareren”. De vuistregel geldt nog steeds: als iets niet goed voelt, controleer dan opnieuw. Als u niet zeker weet of een link of app legitiem is, klik er dan niet op, zelfs niet als deze van Google, Facebook, Apple, uw ISP of zelfs een familielid is. En houd de software van uw apparaat altijd up-to-date.

TAG wijst ook op een belangrijk feit: geen van de malware-apps die werden gebruikt om Hermit te implementeren, was beschikbaar in de App Store van Apple of de Play Store van Google (de hackers gebruikten verschillende tactieken om officiële winkels te marginaliseren). Het installeren van alleen apps uit officiële app-winkels biedt geen 100% bescherming tegen malware, maar het is zeker een goede beveiligingspraktijk.

Ook zegt TAG dat Google stappen heeft ondernomen om gebruikers te beschermen die rechtstreeks door Hermit werden getroffen, inclusief het waarschuwen van alle Android-slachtoffers en het implementeren van oplossingen om de aanvallen te verijdelen. Apple heeft TechCrunch laten weten dat alle bekende accounts en certificaten die aan Hermit zijn gekoppeld, zijn ingetrokken.

Als u nog een paar stappen verder wilt gaan, heeft beveiligingsbedrijf Kaspersky een lijst met stappen die u kunt nemen om uzelf te beschermen tegen geavanceerde spyware, waaronder dagelijks opnieuw opstarten, iMessage en FaceTime uitschakelen en een alternatieve browser gebruiken om op internet te surfen. in plaats van het populaire Chrome of Safari.

Leave a Comment