Google warnt vor mobiler Spyware für Android- und iOS-Geräte

Googles Threat Analysis Group warnt vor einer kommerziellen Spyware, die derzeit aktiv an Android- und iOS-Geräte verteilt wird. Die meisten Opfer befinden sich in Italien und Kasachstan. Die Hermit genannte Malware ist modular aufgebaut. Von den insgesamt 25 bekannten Modulen konnten die Forscher bisher allerdings erst 16 analysieren.

Laut Forscher von Lookout versucht die Schadsoftware, Root-Zugriff auf ein Gerät zu erhalten. Darüber hinaus kann die Spyware offenbar Audio aufzeichnen, Anrufe starten und umleiten, Daten wie SMS-Nachrichten, Anruflisten Adressbücher und Fotos stehlen sowie Standortinformationen auslesen.

Verbreitet wird die Malware nach Erkenntnissen der Forscher über schädliche SMS-Nachrichten. Laut Google geben die Hintermänner vor, dass die Nachrichten von einem Internet Service Provider oder einer Messaging-Anwendung verschickt werden.

iOS-Versionn von Hermit nutzt Developer-Zertifikat

„In einigen Fällen nehmen wir an, dass die Angreifer mit dem Internetanbieter des Opfers zusammengearbeitet haben, um dessen mobile Datenverbindung zu deaktivieren“, erklärte Google. „Der Angreifer würde dann einen schädlichen Link per SMS senden und das Opfer auffordern, eine App zu installieren, um die Datenverbindung wieder herzustellen.“

Das Team von Lookout konnte bisher lediglich eine Android-Version von Hermit sicherstellen. Den Google-Forschern fiel aber auch eine iOS-Version in die Hände. In Googles Play Store beziehungsweise Apples App Store fanden die Forscher indes keine Muster der Schadsoftware – die Downloads erfolgten stets über Hosts von Drittanbietern.

Unter Android muss ein Opfer nicht nur zum Download verleitet werden, sondern auch die Installation einer App aus unbekannten Quellen zulassen. Laut Google wurden betroffene Nutzer informiert. Zudem sei die Sicherheitsfunktion Play Protect an Hermit angepasst worden.

Die iOS-Version wiederum ist mit einem Zertifikat von Apples Developer Enterprise Program versehen. Um iPhones zu infizieren, kommen sechs Schwachstellen zum Einsatz, von denen zwei ursprünglich Zero-Day-Lücken waren – Patches stehen für sie seit Dezember 2021 zur Verfügung. Zudem widerrief der iPhone-Hersteller die fraglichen Zertifikate.

Google und Lookout vermuten, dass Hermit ein Produkt des italienischen Unternehmens RCS Lab ist. Das wiederum erklärte gegenüber TechCrunch, man exportiere alle Produkt in Übereinstimmung mit nationalen und europäischen Regel und Gesetzen. Auch würden die Produkte nur mit einer offiziellen behördlichen Autorisierung verkauft.

Googles Threat Analysis Group sind nach eigenen Angaben derzeit 30 Anbieter bekannt, die Exploits und Spyware an staatliche Behörden und Einrichtungen verkaufen. Während der Einsatz unter Umständen legal sei, würden solche Werkzeuge oft auch eingesetzt, um Dissidenten, Politiker oder Menschen- und Arbeitsrechtler auszuspähen.