Исследователи из Lookout выпустили интересный отчёт, согласно которому ряд организаций в Казахстане, Сирии и Италии использовали шпионский софт корпоративного уровня для Android, чтобы проникать на мобильные устройства пользователей.
Попавший в руки экспертов шпион назвали “Hermit“, за его созданием, предположительно, стоит итальянский вендор RCS Lab S.p.A., специализирующийся на слежке, а также телекоммуникационная компания Tykelab Srl.
В отчёте Lookout специалисты пишут, что Hermit, само собой, может маскировать свою активность в системе. Как правило, этот шпион доставляется на девайсы пользователей через СМС-сообщения.
Помимо сбора различных данных на устройстве, шпион может записывать аудио и перенаправлять звонки. Вредоноса интересуют также списки контактов, журнал вызовов, геолокация устройства и текстовые сообщения жертвы.
«Hermit — очень адаптивный шпион. Судя по тому, что мы видели, авторы оснастили его функциональностью, затрудняющей анализ вредоносного кода», — объясняет Джастин Альбрехт из Lookout.
Известно, что Android-шпион любит маскироваться под безобидные приложения и вводит пользователей в заблуждение, имитируя веб-страницы брендов. Кстати, интересно, что Hermit упоминается в отчёте по борьбе с коррупцией (PDF), который опубликовал парламент Италии.
Среди популярных компаний, чьи сайты может имитировать шпион, специалисты отметили техногигантов Oppo, Samsung и Vivo.
Проанализированные семплы Hermit показали, что операторы шпиона подняли веб-ресурс на казахском языке, а реальный IP-адрес командного сервера (C2) также принадлежит территории Казахстана.
