早些時候，Lookout 安全研究人員將一款名為 Hermit 的 Android 間諜軟件，與意大利 RCS Lab 軟件公司聯(lián)系了起來。現(xiàn)在，Google 威脅研究人員已經(jīng)證實了 Lookout 的大部分發(fā)現(xiàn)，并且正在向遭到 Hermit 移動間諜軟件入侵的 Android 用戶發(fā)去警告。

被攻擊者控制的一個站點截圖

Lookout 與 Google 指出，Hermit 被證實為有官方背景的商業(yè)間諜軟件，受害者主要出現(xiàn)在哈薩克斯坦和意大利、但敘利亞北部也有被發(fā)現(xiàn)。

該間諜軟件擁有各種模塊，可根據(jù)需要從其命令與控制服務器（C&C）獲取相關功能，比如收集通話記錄、記錄環(huán)境音頻、重定向電話，以及受害者的設備上竊取照片、消息、電子郵件和精確定位。

Lookout 分析發(fā)現(xiàn)，Hermit 間諜軟件可在所有 Android 版本上運行，并試圖在受感染的 Android 設備上扎根。

攻擊者通過短信發(fā)送的惡意鏈接，引誘受害者從外部應用商店下載并安裝惡意軟件。通常情況下，Hermit 會將自己偽裝成各大通訊品牌或消息傳遞類應用。

此外在周四的一篇博客文章中，Google 找到了幕后行為者與目標 ISP 聯(lián)手切斷移動數(shù)據(jù)連接的證據(jù)。推測是以恢復連接為幌子，引誘受害者去下載 App 。

Google 進一步分析了針對 iPhone 的間諜軟件樣本，調(diào)查發(fā)現(xiàn) Hermit 的 iOS App 濫用了蘋果企業(yè)開發(fā)者證書，以允許間諜軟件從外部應用商店加載。

間諜軟件利用了六個不同的漏洞，其中兩個屬于未曝出過的零日漏洞。更糟糕的是，蘋果知悉其中一個 0-Day 漏洞已在修復完成前被積極利用。

慶幸的是，兩家科技巨頭都表示未在官方應用商店里發(fā)現(xiàn) Android / iOS 版的 Hermit 間諜軟件。

目前 Google 已向受感染的 Android 設備用戶發(fā)去警告通知，并更新了系統(tǒng)內(nèi)置的 Google Play Protect 安全掃描程序，以阻止該間諜軟件的運行。

此外 Google 關閉了間諜軟件用于和服務器通訊的 Firebase 帳戶，但并未透露到底有多少 Android 設備收到了 Hermit 間諜軟件的影響。

蘋果發(fā)言人 Trevor Kincaid 則表示，該公司已吊銷與本輪間諜軟件活動相關的所有已知賬戶和證書。

目前尚不清楚 Hermit 間諜軟件的確切針對目標，但有 NSO Group 和 Candiru 等臭名昭著的案例在前，此事也并不難推測。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/