Categories: SicherheitVirus

Google warnt vor mobiler Spyware für Android- und iOS-Geräte

Googles Threat Analysis Group warnt vor einer kommerziellen Spyware, die derzeit aktiv an Android- und iOS-Geräte verteilt wird. Die meisten Opfer befinden sich in Italien und Kasachstan. Die Hermit genannte Malware ist modular aufgebaut. Von den insgesamt 25 bekannten Modulen konnten die Forscher bisher allerdings erst 16 analysieren.

Laut Forscher von Lookout versucht die Schadsoftware, Root-Zugriff auf ein Gerät zu erhalten. Darüber hinaus kann die Spyware offenbar Audio aufzeichnen, Anrufe starten und umleiten, Daten wie SMS-Nachrichten, Anruflisten Adressbücher und Fotos stehlen sowie Standortinformationen auslesen.

Verbreitet wird die Malware nach Erkenntnissen der Forscher über schädliche SMS-Nachrichten. Laut Google geben die Hintermänner vor, dass die Nachrichten von einem Internet Service Provider oder einer Messaging-Anwendung verschickt werden.

iOS-Versionn von Hermit nutzt Developer-Zertifikat

„In einigen Fällen nehmen wir an, dass die Angreifer mit dem Internetanbieter des Opfers zusammengearbeitet haben, um dessen mobile Datenverbindung zu deaktivieren“, erklärte Google. „Der Angreifer würde dann einen schädlichen Link per SMS senden und das Opfer auffordern, eine App zu installieren, um die Datenverbindung wieder herzustellen.“

Das Team von Lookout konnte bisher lediglich eine Android-Version von Hermit sicherstellen. Den Google-Forschern fiel aber auch eine iOS-Version in die Hände. In Googles Play Store beziehungsweise Apples App Store fanden die Forscher indes keine Muster der Schadsoftware – die Downloads erfolgten stets über Hosts von Drittanbietern.

Unter Android muss ein Opfer nicht nur zum Download verleitet werden, sondern auch die Installation einer App aus unbekannten Quellen zulassen. Laut Google wurden betroffene Nutzer informiert. Zudem sei die Sicherheitsfunktion Play Protect an Hermit angepasst worden.

Die iOS-Version wiederum ist mit einem Zertifikat von Apples Developer Enterprise Program versehen. Um iPhones zu infizieren, kommen sechs Schwachstellen zum Einsatz, von denen zwei ursprünglich Zero-Day-Lücken waren – Patches stehen für sie seit Dezember 2021 zur Verfügung. Zudem widerrief der iPhone-Hersteller die fraglichen Zertifikate.

Google und Lookout vermuten, dass Hermit ein Produkt des italienischen Unternehmens RCS Lab ist. Das wiederum erklärte gegenüber TechCrunch, man exportiere alle Produkt in Übereinstimmung mit nationalen und europäischen Regel und Gesetzen. Auch würden die Produkte nur mit einer offiziellen behördlichen Autorisierung verkauft.

Googles Threat Analysis Group sind nach eigenen Angaben derzeit 30 Anbieter bekannt, die Exploits und Spyware an staatliche Behörden und Einrichtungen verkaufen. Während der Einsatz unter Umständen legal sei, würden solche Werkzeuge oft auch eingesetzt, um Dissidenten, Politiker oder Menschen- und Arbeitsrechtler auszuspähen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Braucht der Mittelstand eine Sovereign Cloud?

"In der Regel nicht", sagt Oliver Queck von Skaylink im Interview.

3 Tagen ago

Lockbit wirklich endgültig zerschlagen?

Trotz des großen Erfolgs der Operation "Cronos" warnen Security-Experten vor zu frühen Feiern.

4 Tagen ago

Umfrage: In diesen Branchen soll KI den Personalmangel lindern

Eine Mehrheit der Deutschen spricht sich für mehr KI in der Industrie und im Transportwesen…

4 Tagen ago

Kaspersky: Jeder Fünfte von digitalem Stalking betroffen

42% der Nutzer:innen berichten von Gewalt oder Missbrauch durch eigenen Partner. 17% wurden bereits ohne…

4 Tagen ago

Handwerker-Recruiting 2.0

Warum ChatGPT bei der Mitarbeitergewinnung den Unterschied machen kann, verrät Julian Jehn von Jehn &…

5 Tagen ago

NIS 2: “Zeitlich wird es knackig”

Es stellt sich nicht die Frage, ob Unternehmen NIS 2 noch schaffen, sondern eher wie,…

5 Tagen ago