I ricercatori hanno scoperto una famiglia di spyware modulari per Android di livello enterprise, denominata Hermit, che sorveglia i cittadini del Kazakistan da parte del loro governo.
I ricercatori del Lookout Threat Lab, che hanno individuato lo spyware, ipotizzano che sia stato sviluppato dal fornitore italiano di spyware segreto RCS Lab e affermano che Hermit è stato precedentemente utilizzato dalle autorità italiane in un’operazione anti-corruzione del 2019 in Italia. Lo spyware è stato trovato anche nel nord-est della Siria, patria della maggioranza curda del Paese e luogo di crisi in corso, tra cui la guerra civile siriana.
In passato i dispositivi Android sono stati oggetto di abusi con spyware; nel novembre 2021 i ricercatori di Sophos hanno scoperto nuove varianti di spyware Android collegate a un gruppo APT mediorientale. Un’analisi più recente di Google TAG indica che almeno otto governi di tutto il mondo stanno acquistando exploit zero-day di Android per scopi di sorveglianza segreta.
Come funziona Hermit
Hermit viene prima installato su un dispositivo mirato come framework con una capacità di sorveglianza minima. Poi può scaricare moduli da un server di comando e controllo (C2) secondo le istruzioni e attivare le funzionalità di spionaggio integrate in questi moduli.
Questo approccio modulare nasconde il malware dall’analisi automatica dell’applicazione e rende l’analisi manuale del malware molto più difficile. Inoltre, consente all’attore malintenzionato di attivare e disattivare diverse funzionalità nella sua campagna di sorveglianza o le capacità di un dispositivo bersaglio. Hermit può anche modificare il suo comportamento in base alle necessità per eludere gli strumenti e i processi di analisi.
“Il design modulare potrebbe anche far parte del modello di business del fornitore del software, consentendogli di vendere singole funzioni di spionaggio come voci a valore aggiunto“, spiega Paul Shunk, ricercatore di sicurezza di Lookout, che ha pubblicato un rapporto su Hermit.
Shunk afferma che la qualità complessiva del design e del codice del malware spicca rispetto a molti altri campioni che ha visto.
“È chiaro che è stato sviluppato professionalmente da creatori che conoscono le migliori pratiche di ingegneria del software”, afferma. “A parte questo, non capita spesso di imbattersi in un malware [che] presume di essere in grado di sfruttare con successo un dispositivo e di fare uso di permessi di root elevati”.
La scoperta di Hermit aggiunge un altro tassello al quadro del mercato segreto degli strumenti di sorveglianza per le “intercettazioni legali”.
“Come nel caso di NSO, Cytrox e altri fornitori, la scoperta dei loro clienti di solito smaschera l’affermazione che il loro prodotto è usato solo per scopi legittimi come almeno parzialmente falsa”, afferma Shunk.
- Uno dei campioni di Hermit analizzati da Lookout ha utilizzato un sito web in lingua kazaka come esca.
- Il server C2 principale utilizzato dall’applicazione era solo un proxy, mentre il vero C2 era ospitato su un IP del Kazakistan.
“La combinazione tra il targeting degli utenti di lingua kazaka e l’ubicazione del server C2 back-end è una forte indicazione che la campagna è controllata da un’entità in Kazakistan”, afferma Shunk.
Lookout afferma che esiste anche una versione Apple iOS dello spyware, ma il team di ricerca non è riuscito a ottenere un campione da analizzare.
