Un logiciel de surveillance de niveau entreprise appelé Ermite a été utilisé par des entités opérant depuis le Kazakhstan, la Syrie et l’Italie au fil des ans depuis 2019, ont révélé de nouvelles recherches.
Lookout a attribué le logiciel espion, qui est équipé pour cibler à la fois Android et iOS, à une société italienne nommée RCS Lab SpA et Tykelab Srl, un fournisseur de services de télécommunications qu’il soupçonne d’être une société écran. La société de cybersécurité basée à San Francisco a déclaré avoir détecté la campagne visant le Kazakhstan en avril 2022.
Hermit est modulaire et est livré avec une myriade de fonctionnalités qui lui permettent « d’exploiter un appareil rooté, d’enregistrer de l’audio et de passer et rediriger des appels téléphoniques, ainsi que de collecter des données telles que les journaux d’appels, les contacts, les photos, l’emplacement de l’appareil et les SMS », chercheurs de Lookout Justin Albrecht et Paul Shunk a dit dans une nouvelle rédaction.
On pense que le logiciel espion est distribué via des messages SMS qui incitent les utilisateurs à installer des applications apparemment inoffensives de Samsung, Vivo et Oppo, qui, lorsqu’elles sont ouvertes, chargent un site Web de la société usurpée tout en activant furtivement la chaîne de destruction en arrière-plan.
Comme d’autres menaces de logiciels malveillants Android, Hermit est conçu pour abuser de ses autorisations d’accès aux services d’accessibilité et à d’autres composants essentiels du système d’exploitation (c’est-à-dire les contacts, l’appareil photo, le calendrier, le presse-papiers, etc.) pour la plupart de ses activités malveillantes.
Les appareils Android ont été la cible de logiciels espions dans le passé. En novembre 2021, l’acteur menaçant suivi sous le nom d’APT-C-23 (alias Arid Viper) était lié à une vague d’attaques ciblant les utilisateurs du Moyen-Orient avec de nouvelles variantes de FrozenCell.
Puis le mois dernier, le groupe d’analyse des menaces (TAG) de Google a révélé qu’au moins des acteurs soutenus par le gouvernement situés en Égypte, en Arménie, en Grèce, à Madagascar, en Côte d’Ivoire, en Serbie, en Espagne et en Indonésie achètent des exploits Android zero-day pour une surveillance secrète. campagnes.
« RCS Lab, un développeur connu actif depuis plus de trois décennies, opère sur le même marché que le développeur de Pegasus NSO Group Technologies et Gamma Group, qui ont créé FinFisher », ont noté les chercheurs.
« Collectivement qualifiées de sociétés d' »interception légale », elles prétendent ne vendre qu’à des clients ayant une utilisation légitime des logiciels de surveillance, tels que les services de renseignement et les forces de l’ordre. En réalité, ces outils ont souvent été abusés sous le couvert de la sécurité nationale pour espionner les entreprises. des dirigeants, des militants des droits de l’homme, des journalistes, des universitaires et des responsables gouvernementaux. »
Les conclusions surviennent alors que le groupe NSO basé en Israël serait aurait dans pourparlers de vendre sa technologie Pegasus à l’entrepreneur de défense américain L3Harris, la société qui fabrique Raie traceurs de téléphones portables, ce qui fait craindre qu’il n’ouvre la porte à l’utilisation par les forces de l’ordre américaines de l’outil de piratage controversé.
Le fabricant allemand derrière FinFisher a courtisé ses propres problèmes à la suite des raids de 2020 menés par les autorités chargées de l’enquête en relation avec des violations présumées des lois sur le commerce extérieur en vendant ses logiciels espions en Turquie sans obtenir la licence requise.
Au début du mois de mars, il a mis fin à ses activités et déposé un dossier d’insolvabilité, Netzpolitik et Bloomberg a rapporté, ajoutant que « le bureau a été dissous, les employés ont été licenciés et les activités commerciales ont cessé ».