Google: providers hielpen Hermit-smartphonespyware te verspreiden

Google zegt dat internetproviders hebben geholpen met het verspreiden van Hermit-smartphonespyware. Providers schakelden de mobiele dataverbinding van slachtoffers uit, waarna hackers een sms met een Hermit-link stuurden 'om de verbinding te kunnen herstellen'.

De Hermit-spyware is volgens Google door het Italiaanse bedrijf RCS Labs ontwikkeld en is door hackers gebruikt om smartphones in Italië, Kazachstan en Syrië te kunnen infiltreren. In bepaalde gevallen zouden de hackers met providers hebben samengewerkt, om de mobiele dataverbinding van het slachtoffer te kunnen uitschakelen. Daarna stuurden de hackers een sms naar de klant, met een link naar een app om die dataverbinding te kunnen herstellen.

In werkelijkheid installeerden slachtoffers met de link Hermit, spyware die berichten en wachtwoorden kan inzien, zegt een Citizen Lab-onderzoeker tegen The Guardian. Daarnaast kan de malware de controle overnemen van telefoons, audio opnemen, gesprekken doorsluizen en andere data verzamelen. Hermit werkt op zowel Android en iOS, op eerstgenoemde doet de app zich voor als Samsung-app.

Hoe de staatshackers met providers samenwerkten, is niet duidelijk. Google zegt dat het samenwerken met providers een aanwijzing is dat Hermit door staatshackers is gebruikt. De spyware zou vooral in een Koerdische regio in Syrië gebruikt zijn.

De Hermit-melding zonder medewerking van providers.
Hermit-melding zonder hulp van providers

De spyware is ook zonder medewerking van providers in te zetten: dan doen de hackers alsof er een app geïnstalleerd moet worden om de controle over een Facebook-, WhatsApp- of Instagram-account terug te kunnen krijgen. Apple en Google zeggen stappen te hebben gezet om Hermit tegen te gaan. Googles Threat Analysis Group openbaart vaker informatie over malware, om zo gebruikers en ontwikkelaars meer bewust te maken over malware. RCS Labs zegt dat zijn 'producten en diensten' aan Europese wetgeving voldoen en 'politie- en opsporingsdiensten helpen met het oplossen van misdaden'.

Door Hayte Hugo

Redacteur

Feedback • 27-06-2022 12:09 38

27-06-2022 • 12:09

38

Lees meer

Platformcertificaten van meerdere Android-fabrikanten zijn gebruikt voor malware
Platformcertificaten van meerdere Android-fabrikanten zijn gebruikt voor malware Nieuws van 2 december 2022
Google kondigt automatisch wisselen van audiobron van draadloze oortjes aan
Google kondigt automatisch wisselen van audiobron van draadloze oortjes aan Nieuws van 22 juli 2022
Google breidt functionaliteit Chrome-wachtwoordmanager uit naar alle platformen
Google breidt functionaliteit Chrome-wachtwoordmanager uit naar alle platformen Nieuws van 30 juni 2022
Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen
Onderzoeker kan tweestapsverificatie omzeilen via WebView2 om cookies te stelen Nieuws van 27 juni 2022
Hoorzittingen over Pegasus: NSO blijft vaag over misbruik van zijn spyware
Hoorzittingen over Pegasus: NSO blijft vaag over misbruik van zijn spyware Nieuws van 22 juni 2022
Directeur Spaanse inlichtingendienst ontslagen wegens gehackte telefoon premier
Directeur Spaanse inlichtingendienst ontslagen wegens gehackte telefoon premier Nieuws van 11 mei 2022
Telefoons Spaanse premier en minister zijn vorig jaar besmet met Pegasus-spyware
Telefoons Spaanse premier en minister zijn vorig jaar besmet met Pegasus-spyware Nieuws van 2 mei 2022
Citizen Lab: VAE hackte kantoor van Britse premier Boris Johnson met Pegasus
Citizen Lab: VAE hackte kantoor van Britse premier Boris Johnson met Pegasus Nieuws van 19 april 2022
'Staatshackers probeerden EU-ambtenaren te hacken met Israëlische spyware'
'Staatshackers probeerden EU-ambtenaren te hacken met Israëlische spyware' Nieuws van 11 april 2022
Politie weigert openheid te geven over eventueel gebruik omstreden hacktools
Politie weigert openheid te geven over eventueel gebruik omstreden hacktools Nieuws van 9 april 2022
Europese privacytoezichthouder: EU moet Pegasus-spyware verbieden
Europese privacytoezichthouder: EU moet Pegasus-spyware verbieden Nieuws van 15 februari 2022
Europees Parlement gaat gebruik van Pegasus-spyware onderzoeken
Europees Parlement gaat gebruik van Pegasus-spyware onderzoeken Nieuws van 10 februari 2022
Reuters: tweede spionagebedrijf gebruikte iMessage-exploits om iPhones te hacken
Reuters: tweede spionagebedrijf gebruikte iMessage-exploits om iPhones te hacken Nieuws van 3 februari 2022
FBI kocht omstreden spionagesoftware Pegasus van NSO Group 'om te evalueren'
FBI kocht omstreden spionagesoftware Pegasus van NSO Group 'om te evalueren' Nieuws van 2 februari 2022
Voorzitter van omstreden NSO Group stapt op
Voorzitter van omstreden NSO Group stapt op Nieuws van 25 januari 2022
'Poolse senator is voor landelijke verkiezingen gehackt met Pegasus-spyware'
'Poolse senator is voor landelijke verkiezingen gehackt met Pegasus-spyware' Nieuws van 27 december 2021
Meta verwijdert 1500 accounts van 7 NSO-achtige spionagebedrijven
Meta verwijdert 1500 accounts van 7 NSO-achtige spionagebedrijven Nieuws van 17 december 2021
'Europese alliantie wil NSO beconcurreren en dringt iPhones dissidenten binnen'
'Europese alliantie wil NSO beconcurreren en dringt iPhones dissidenten binnen' Nieuws van 17 december 2021
Meer producten en artikelen
Smartphones Beveiliging en antivirus Apple Google Android iOS Hack Hackers Italië Spyware

Reacties (38)

-Moderatie-faq
38
34
23
2
1
7
Wijzig sortering
Ruw ER 27 juni 2022 13:02
Hoe komt zoiets op iphones terecht? Daar kan je toch alleen zaken installeren uit de app store?
GertMenkel
@Ruw ER27 juni 2022 14:40
Nee, je kunt ook applicaties sideloaden via bijvoorbeeld het enterpriseprogramma. Je betaalt Apple een flink bedrag en kunt een certificaat krijgen waarmee je op iedere iPhone je app kunt sideloaden via internet. Je krijgt wel een popup ("wil je x installeren?") en daarna verschijnt de app gewoon in je launcher.

Officieel controleert Apple of je bedrijf wel in aanmerking komt voor zoiets maar de femiddelde staatshacker kan zich daar wel doorheen liegen en bedriegen.

Dit gaat gewoon via de officiële methode dus, er is hier geen sprake van exploits voor de installatie zelf. In dit geval is er gebruik gemaakt van het sideloadcertificaat voor een bedrijf genaamd 3-1 Mobile SRL, dat wellicht gehackt is, een medewerker heeft aan de binnenkant, of wiens Apple-post onderschept is zodat ze alsnog op die naam een certificaat konden krijgen.

De diepgaande analyse door Google vind je hier: https://blog.google/threa...-in-italy-and-kazakhstan/

[Reactie gewijzigd door GertMenkel op 23 juli 2024 16:04]

Overheid @GertMenkel27 juni 2022 15:07
Dat "flinke bedrag" is overigens $300
GertMenkel
@Overheid27 juni 2022 16:16
Ik vind dat een flink bedrag voor iets dat op Android gratis kan.
Overheid @GertMenkel27 juni 2022 16:16
Zeker waar :)
m4ikel @Ruw ER27 juni 2022 14:09
Er zijn gewoon backdoors aanwezig voor diensten als de FBI/CIA, daar maakt staats hackingssoftware gebruik van. Het 'lek' wordt gefixed en een nieuw lek wordt direct gecreëerd zodat diensten toegang houden tot 'targets'.
Frame164 @m4ikel27 juni 2022 20:51
Heb je een betrouwbare link waar die backdoors worden beschreven? Aluhoedjes denken vaak dat fabrikanten bewust backdoors inbouwen, maar dat zijn gewoon bugs en vulnerabilities die hackers van bijvoorbeeld de FBI hebben gevonden en exploiteren. Net zoals andere hackers ingangen vinden. Ik heb al bij best wat internationale softwarebedrijven gewerkt op R&D afdelingen en daar zijn nooit verzoeken binnengekomen om backdoors in te bouwen.
m4ikel @Frame16427 juni 2022 22:52
- https://www.washingtonpos...ption-machines-espionage/
But the manipulation of Crypto’s algorithms streamlined the code-breaking process
- https://www.infoworld.com...rs-in-cisco-products.html
The NSA planted backdoors in Cisco products
- https://www.theguardian.c...-internet-routers-snowden
- https://webwereld.nl/nieu...oor-voor-iphones-3767401/
De Amerikaanse geheime dienst NSA zou een speciale tool hebben ontwikkeld voor het implanteren van een backdoor in iPhones
- nieuws: Oud-medewerker bevestigt afzwakken encryptie door Philips in jaren ne...
op verzoek van onder meer de Amerikanen, apparaten met verzwakte encryptie werden uitgeleverd aan Turkije
Verder zul je zo'n verzoek echt niet snel publiekelijk ontvangen, daarvoor worden individuele medewerkers gevraagd, zie ook het voorbeeld van de jaren 90 (Philips).

[Reactie gewijzigd door m4ikel op 23 juli 2024 16:04]

Asthaparhim @m4ikel28 juni 2022 07:41
Je impliceert dat er 'gewoon' backdoors aanwezig zijn maar voor dit artikel cq iPhones (want je reageert op Ruw ER) maar in geen van de linkjes die je plaatst maak ik op dat die backdoors van oorsprong (dus niet implanted) al aanwezig zijn.
m4ikel @Asthaparhim28 juni 2022 11:26
@Asthaparhim Zoals eerder vermeld kunnen medewerkers worden gerekruteerd om zo kwetsbaarheden bewust aan programmatuur of hardware toe te voegen. Daar heb je geen artikel voor nodig, maar is gewoon de realiteit van de dag. Dat gebeurd zowel aan de intelligence als counter intelligence kant.

[Reactie gewijzigd door m4ikel op 23 juli 2024 16:04]

m4ikel @b12e27 juni 2022 14:15
Je kunt wel elk bericht beantwoorden met `Alu hoedje`, dat heeft m.i. geen plaats op dit platform. Mijn antwoord is gewoon op feiten berust. Kijk naar de publicaties van Edward Snowden, lees ook eens zijn boek.
b12e @m4ikel27 juni 2022 14:38
Als iOS en Android backdoors hadden voor de CIA/FBI, dan moesten ze geen peperdure GrayKey gebruiken of Apple proberen te dwingen om een toestel te ontgrendelen.

Ook dat is berust op feiten. Natuurlijk is het een kat-en-muisspel om een zero day te misbruiken (mbv bvb graykey - de muis) totdat die gedicht wordt door de kat (Apple/Google).

Edit: lees ook de comments hier.

[Reactie gewijzigd door b12e op 23 juli 2024 16:04]

Flaat @b12e27 juni 2022 16:25
https://www.theregister.c...02/cisco_vulnerabilities/

Dit is gewoon aan de orde van de dag, echt niet op rare sites. Zelfde met de linux kernel trouwens. Backdoors plaatsen op belangrijke infrastructuur plekken is logisch, slim, multi inzetbaar (zoals in dit artikel zien) en kosteneffectief, daar hoef je echt geen hoedje voor op om door te hebben.

Https://www.theregister.com/2022/02/23/chinese_nsa_linux/
dez11de @Flaat27 juni 2022 21:18
Je artikel heeft niets met de Linux kernel van doen?
Flaat @dez11de28 juni 2022 10:56
Dat artikel over Bvp47 en de pdf erachter even beter lezen dan.
Tamper with kernel devmem restrictions. This will allow process in user mode to directly read and write
kernel space. And other kernel techniques are used as well.
Nee de gaten zitten niet vaak direct en geheel in de kernel zelf, dat zou te opvallend zijn, het maakt vaak gebruik van de algehele complexiteit van de kernel om dingen te verstoppen.
wica @Ruw ER27 juni 2022 13:06
Ook de iPhone is niet bug vrij. Er zijn verschillende bugs in IOS geweest, daardoor een applicatie zich zelf kon installeren, via een sms, website, foto, document.
HollowGamer @Ruw ER27 juni 2022 13:51
Er zijn exploits, tevens kan een gebruiker denken dat hij een/deze app moet installeren als het staat in de instructies.

Je zult verstaan staan hoe makkelijk gebruikers een wachtwoord invullen, app installeren of ergens 'per ongelijk' op drukken. Dus zowel exploits als ook social engineering kan gebruikt zijn.
HollowGamer @i-chat27 juni 2022 14:17
Dat is waar, die was ik inderdaad vergeten. Tenzij ze daarvoor een exploit gebruiken.
wica 27 juni 2022 13:56
Waarom denkt Google dat er hulp van de provider nodig is geweest?
Als staat kan je toch een mobile zendmast na doen en op die manier geen data verkeer door laten?

/toevoeging.
Waarom ik dit denk, is dat een helpdesk medewerker van een TELCO, niet in staat is. Om bij het blokkeren van data verkeer. Bepaalde url's wel toe te staan.

[Reactie gewijzigd door wica op 23 juli 2024 16:04]

m4ikel @wica27 juni 2022 14:13
Inlichtingendiensten hebben historisch gezien gewoon mensen op plaatsen met toegang tot cruciale infrastructuur. Dat was in 1940, maar in 2022 niet anders. Dus het lijkt me logisch dat er een medewerker in opdracht van de staat werkt.
HakanX @wica27 juni 2022 15:19
Waarom ik dit denk, is dat een helpdesk medewerker van een TELCO, niet in staat is. Om bij het blokkeren van data verkeer. Bepaalde url's wel toe te staan.
In de regio's waar de hack actief was, is dat wel mogelijk. Daar is het gebruikelijk dat je databundels hebt voor specifieke websites of diensten of zelfs dingen als zero.facebook.com welke je altijd gratis kan bezoeken.

Daarnaast kunnen ze ook erop vertrouwen dat mensen even een wifi verbinding gebruiken, al dan niet een mobiele hotspot van iemand anders, om het probleem op te lossen en de app te downloaden.
Lick_A_Brick 27 juni 2022 12:20
Kan het niet gewoon zo zijn dat net zoals bij de recente Lapsus hacks een medewerker een paar euro toegedrukt krijgt om het mobiele dataverkeer uit te schakelen? Het aan/uitschakelen van mobiele data zou mogelijk gewoon door een support medewerker gedaan kunnen worden.
Mellow Jack
@Lick_A_Brick27 juni 2022 12:26
Is het niet logischer dat de overheid gewoon de opdracht heeft gegeven?

Ik bedoel, we praten over Syrie waar dit vooral bij Koerdische personen is toegepast. Vind dus vooral de term "hacker" een beetje onduidelijk.... Wat is het verschil tussen een staatshacker en een militiair in deze context?

[Reactie gewijzigd door Mellow Jack op 23 juli 2024 16:04]

i-chat @Mellow Jack27 juni 2022 13:57
is een heel complot, bij een overheid EN een telco, logischer dan één corrupte medewerker? - In wat voor wereld leef jij?  

Dit stukje zegt echter weinig goeds, iets met wij van wc-eend?
RCS Labs zegt dat zijn 'producten en diensten' aan Europese wetgeving voldoen en 'politie- en opsporingsdiensten helpen met het oplossen van misdaden'.
Mellow Jack
@i-chat27 juni 2022 14:10
Ik leef in Nederland is daar is een corrupte medewerker een stuk logischer... Deze situatie speelt zich af in Syrie en dat is idd een compleet andere wereld :D
Wouterie @i-chat27 juni 2022 16:03
We hebben het wel over Syrië hè? En EU wetgeving is alleen van toepassing op de EU en haar onderdanen. Dus dat de Spaanse politie het niet zomaar mag toepassen op Catalaanse politici, maar als je de Syrische politie- en opsporingsdiensten helpt met het oplossen van misdaden heb je toch een beetje boter op je hoofd.
Gutser @Mellow Jack27 juni 2022 12:56
Petje op, petje af.
Marzman @Mellow Jack27 juni 2022 13:55
Ze hebben software ingekocht, een provider gedwongen een verbinding tijdelijk uit te schakelen en een sms gestuurd (of waarschijnlijk de provider gedwongen dat te doen voor ze). Ik denk dat een militair dat inderdaad ook kan, op zich is die miltair dan wel aan het hacken.
Tjidde 27 juni 2022 13:16
Lastig ding om goed op te lossen.

Een relatief makkelijke manier is alles extreem sandboxen waarbij geen onderlinge data gedeeld kan worden. Dan heb je 0,0 aan dit soort spyware. Echter dat is niet gebruiksvriendelijk. Want gebruikers willen gewoon via App a naar App b kunnen gaan als dit de flow is. Bijvoorbeeld van de Bol app naar je bankieren app om je bestelling te betalen.

Misschien zouden bepaalde informatie altijd encrypted zijn met een 4k sleutel (of meer zelfs). Dat men dat hard moet aangeven, wil je dat APP x al je wachtwoorden kan zien en mogelijk versturen. Dat bepaalde app's zoals lastpass ook de mogelijkheid krijgen om in zo'n extreem zware sandbox te draaien. (Niet bij andere data in soort gelijke sandboxen kunnen).

Maar ik vind het moreel zeer verwerpelijk dit soort dingen gedaan worden. Maar geheime diensten hebben geen moreel, dat word elke keer weer bevestigd.
luxebenen @Tjidde27 juni 2022 13:36
Meer sandboxen gaat niets oplossen. Vooral iOS zit al vol met sandboxing, maar dit soort malware maakt gebruik van zero-day exploits die dat allemaal bypassen
Tjidde @luxebenen27 juni 2022 14:20
Er zijn wel endpoints/hooks waar je tegenaan kunt lullen van de sandbox's. Als een sandbox geclassificeerd is al extra secure, moet het moeilijker worden om daar tegen te praten.

Dan heb je nog steeds wel last van zero-days, echter hoe meer er regelt is qua afschermen bij design hoe minder je hebt aan een zero-day. Ik zeg ook niet dat dit de ultieme oplossing is. Maar elke stap extra qua beveiliging is niet verkeerd. De ketting is natuurlijk maar zo sterk als de zwakste schakel.
avlt 27 juni 2022 14:22
Zelfs als de link via SMS verstuurd wordt, moet de app zelf toch uit de officiele Android of iOS store halen, tenzij je sideloading toestaat?
GertMenkel
@avlt27 juni 2022 14:47
Android en iOS kunnen allebei sideloaden. Bij Android moet je wat hoepels door maar kun je in principe gewoon elke APK openen (en dat doen mensen maar ook als ze ineens niks meer kunnen met hun telefoon), bij iOS kan dit door Apple een som geld te betalen om een enterprise-certificaat te krijgen. Met zo'n enterprisecertificaat kun je in principe met een browserlink naar wat metadata een IPA sideloaden. Dat is wat Google's analyse aangeetf dat hier gebeurd is en dat klinkt heel logisch.

Omdat dit alleen bedoeld is voor "enterprise" weten veel iOS-gebruikers niet van deze mogelijkheid, maar het zit er al jaren in.
dimdek 28 juni 2022 09:24
Toch gek dat mensen inmiddels zo verslaafd zijn geworden (zie voormalig Android ontwikkelaar Tristan Harris https://www.tristanharris.com/) dat bij het even uitschakelen van de dataverbinding er direct op een link in een wazig sms bericht wordt geklikt.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq