Google: providers hielpen Hermit-smartphonespyware te verspreiden

Google zegt dat internetproviders hebben geholpen met het verspreiden van Hermit-smartphonespyware. Providers schakelden de mobiele dataverbinding van slachtoffers uit, waarna hackers een sms met een Hermit-link stuurden 'om de verbinding te kunnen herstellen'.

De Hermit-spyware is volgens Google door het Italiaanse bedrijf RCS Labs ontwikkeld en is door hackers gebruikt om smartphones in Italië, Kazachstan en Syrië te kunnen infiltreren. In bepaalde gevallen zouden de hackers met providers hebben samengewerkt, om de mobiele dataverbinding van het slachtoffer te kunnen uitschakelen. Daarna stuurden de hackers een sms naar de klant, met een link naar een app om die dataverbinding te kunnen herstellen.

In werkelijkheid installeerden slachtoffers met de link Hermit, spyware die berichten en wachtwoorden kan inzien, zegt een Citizen Lab-onderzoeker tegen The Guardian. Daarnaast kan de malware de controle overnemen van telefoons, audio opnemen, gesprekken doorsluizen en andere data verzamelen. Hermit werkt op zowel Android en iOS, op eerstgenoemde doet de app zich voor als Samsung-app.

Hoe de staatshackers met providers samenwerkten, is niet duidelijk. Google zegt dat het samenwerken met providers een aanwijzing is dat Hermit door staatshackers is gebruikt. De spyware zou vooral in een Koerdische regio in Syrië gebruikt zijn.

Hermit-melding zonder hulp van providers

De spyware is ook zonder medewerking van providers in te zetten: dan doen de hackers alsof er een app geïnstalleerd moet worden om de controle over een Facebook-, WhatsApp- of Instagram-account terug te kunnen krijgen. Apple en Google zeggen stappen te hebben gezet om Hermit tegen te gaan. Googles Threat Analysis Group openbaart vaker informatie over malware, om zo gebruikers en ontwikkelaars meer bewust te maken over malware. RCS Labs zegt dat zijn 'producten en diensten' aan Europese wetgeving voldoen en 'politie- en opsporingsdiensten helpen met het oplossen van misdaden'.

Door Hayte Hugo

Redacteur

27-06-2022 • 12:09

38 Linkedin

Lees meer

Reacties (38)

Wijzig sortering
Hoe komt zoiets op iphones terecht? Daar kan je toch alleen zaken installeren uit de app store?
Nee, je kunt ook applicaties sideloaden via bijvoorbeeld het enterpriseprogramma. Je betaalt Apple een flink bedrag en kunt een certificaat krijgen waarmee je op iedere iPhone je app kunt sideloaden via internet. Je krijgt wel een popup ("wil je x installeren?") en daarna verschijnt de app gewoon in je launcher.

Officieel controleert Apple of je bedrijf wel in aanmerking komt voor zoiets maar de femiddelde staatshacker kan zich daar wel doorheen liegen en bedriegen.

Dit gaat gewoon via de officiële methode dus, er is hier geen sprake van exploits voor de installatie zelf. In dit geval is er gebruik gemaakt van het sideloadcertificaat voor een bedrijf genaamd 3-1 Mobile SRL, dat wellicht gehackt is, een medewerker heeft aan de binnenkant, of wiens Apple-post onderschept is zodat ze alsnog op die naam een certificaat konden krijgen.

De diepgaande analyse door Google vind je hier: https://blog.google/threa...-in-italy-and-kazakhstan/

[Reactie gewijzigd door GertMenkel op 27 juni 2022 14:41]

Dat "flinke bedrag" is overigens $300
Ik vind dat een flink bedrag voor iets dat op Android gratis kan.
Er zijn gewoon backdoors aanwezig voor diensten als de FBI/CIA, daar maakt staats hackingssoftware gebruik van. Het 'lek' wordt gefixed en een nieuw lek wordt direct gecreëerd zodat diensten toegang houden tot 'targets'.
Heb je een betrouwbare link waar die backdoors worden beschreven? Aluhoedjes denken vaak dat fabrikanten bewust backdoors inbouwen, maar dat zijn gewoon bugs en vulnerabilities die hackers van bijvoorbeeld de FBI hebben gevonden en exploiteren. Net zoals andere hackers ingangen vinden. Ik heb al bij best wat internationale softwarebedrijven gewerkt op R&D afdelingen en daar zijn nooit verzoeken binnengekomen om backdoors in te bouwen.
- https://www.washingtonpos...ption-machines-espionage/
But the manipulation of Crypto’s algorithms streamlined the code-breaking process
- https://www.infoworld.com...rs-in-cisco-products.html
The NSA planted backdoors in Cisco products
- https://www.theguardian.c...-internet-routers-snowden
- https://webwereld.nl/nieu...oor-voor-iphones-3767401/
De Amerikaanse geheime dienst NSA zou een speciale tool hebben ontwikkeld voor het implanteren van een backdoor in iPhones
- nieuws: Oud-medewerker bevestigt afzwakken encryptie door Philips in jaren ne...
op verzoek van onder meer de Amerikanen, apparaten met verzwakte encryptie werden uitgeleverd aan Turkije
Verder zul je zo'n verzoek echt niet snel publiekelijk ontvangen, daarvoor worden individuele medewerkers gevraagd, zie ook het voorbeeld van de jaren 90 (Philips).

[Reactie gewijzigd door m4ikel op 27 juni 2022 22:55]

Je impliceert dat er 'gewoon' backdoors aanwezig zijn maar voor dit artikel cq iPhones (want je reageert op Ruw ER) maar in geen van de linkjes die je plaatst maak ik op dat die backdoors van oorsprong (dus niet implanted) al aanwezig zijn.
@Asthaparhim Zoals eerder vermeld kunnen medewerkers worden gerekruteerd om zo kwetsbaarheden bewust aan programmatuur of hardware toe te voegen. Daar heb je geen artikel voor nodig, maar is gewoon de realiteit van de dag. Dat gebeurd zowel aan de intelligence als counter intelligence kant.

[Reactie gewijzigd door m4ikel op 28 juni 2022 11:28]

Je kunt wel elk bericht beantwoorden met `Alu hoedje`, dat heeft m.i. geen plaats op dit platform. Mijn antwoord is gewoon op feiten berust. Kijk naar de publicaties van Edward Snowden, lees ook eens zijn boek.
Als iOS en Android backdoors hadden voor de CIA/FBI, dan moesten ze geen peperdure GrayKey gebruiken of Apple proberen te dwingen om een toestel te ontgrendelen.

Ook dat is berust op feiten. Natuurlijk is het een kat-en-muisspel om een zero day te misbruiken (mbv bvb graykey - de muis) totdat die gedicht wordt door de kat (Apple/Google).

Edit: lees ook de comments hier.

[Reactie gewijzigd door bramvandeperre op 27 juni 2022 14:39]

https://www.theregister.c...02/cisco_vulnerabilities/

Dit is gewoon aan de orde van de dag, echt niet op rare sites. Zelfde met de linux kernel trouwens. Backdoors plaatsen op belangrijke infrastructuur plekken is logisch, slim, multi inzetbaar (zoals in dit artikel zien) en kosteneffectief, daar hoef je echt geen hoedje voor op om door te hebben.

Https://www.theregister.com/2022/02/23/chinese_nsa_linux/
Je artikel heeft niets met de Linux kernel van doen?
Dat artikel over Bvp47 en de pdf erachter even beter lezen dan.
Tamper with kernel devmem restrictions. This will allow process in user mode to directly read and write
kernel space. And other kernel techniques are used as well.
Nee de gaten zitten niet vaak direct en geheel in de kernel zelf, dat zou te opvallend zijn, het maakt vaak gebruik van de algehele complexiteit van de kernel om dingen te verstoppen.
Ook de iPhone is niet bug vrij. Er zijn verschillende bugs in IOS geweest, daardoor een applicatie zich zelf kon installeren, via een sms, website, foto, document.
Er zijn exploits, tevens kan een gebruiker denken dat hij een/deze app moet installeren als het staat in de instructies.

Je zult verstaan staan hoe makkelijk gebruikers een wachtwoord invullen, app installeren of ergens 'per ongelijk' op drukken. Dus zowel exploits als ook social engineering kan gebruikt zijn.
Dat is waar, die was ik inderdaad vergeten. Tenzij ze daarvoor een exploit gebruiken.
Waarom denkt Google dat er hulp van de provider nodig is geweest?
Als staat kan je toch een mobile zendmast na doen en op die manier geen data verkeer door laten?

/toevoeging.
Waarom ik dit denk, is dat een helpdesk medewerker van een TELCO, niet in staat is. Om bij het blokkeren van data verkeer. Bepaalde url's wel toe te staan.

[Reactie gewijzigd door wica op 27 juni 2022 13:59]

Inlichtingendiensten hebben historisch gezien gewoon mensen op plaatsen met toegang tot cruciale infrastructuur. Dat was in 1940, maar in 2022 niet anders. Dus het lijkt me logisch dat er een medewerker in opdracht van de staat werkt.
Waarom ik dit denk, is dat een helpdesk medewerker van een TELCO, niet in staat is. Om bij het blokkeren van data verkeer. Bepaalde url's wel toe te staan.
In de regio's waar de hack actief was, is dat wel mogelijk. Daar is het gebruikelijk dat je databundels hebt voor specifieke websites of diensten of zelfs dingen als zero.facebook.com welke je altijd gratis kan bezoeken.

Daarnaast kunnen ze ook erop vertrouwen dat mensen even een wifi verbinding gebruiken, al dan niet een mobiele hotspot van iemand anders, om het probleem op te lossen en de app te downloaden.
Kan het niet gewoon zo zijn dat net zoals bij de recente Lapsus hacks een medewerker een paar euro toegedrukt krijgt om het mobiele dataverkeer uit te schakelen? Het aan/uitschakelen van mobiele data zou mogelijk gewoon door een support medewerker gedaan kunnen worden.
Is het niet logischer dat de overheid gewoon de opdracht heeft gegeven?

Ik bedoel, we praten over Syrie waar dit vooral bij Koerdische personen is toegepast. Vind dus vooral de term "hacker" een beetje onduidelijk.... Wat is het verschil tussen een staatshacker en een militiair in deze context?

[Reactie gewijzigd door Mellow Jack op 27 juni 2022 12:27]

is een heel complot, bij een overheid EN een telco, logischer dan één corrupte medewerker? - In wat voor wereld leef jij?  

Dit stukje zegt echter weinig goeds, iets met wij van wc-eend?
RCS Labs zegt dat zijn 'producten en diensten' aan Europese wetgeving voldoen en 'politie- en opsporingsdiensten helpen met het oplossen van misdaden'.
Ik leef in Nederland is daar is een corrupte medewerker een stuk logischer... Deze situatie speelt zich af in Syrie en dat is idd een compleet andere wereld :D
We hebben het wel over Syrië hè? En EU wetgeving is alleen van toepassing op de EU en haar onderdanen. Dus dat de Spaanse politie het niet zomaar mag toepassen op Catalaanse politici, maar als je de Syrische politie- en opsporingsdiensten helpt met het oplossen van misdaden heb je toch een beetje boter op je hoofd.
Petje op, petje af.
Ze hebben software ingekocht, een provider gedwongen een verbinding tijdelijk uit te schakelen en een sms gestuurd (of waarschijnlijk de provider gedwongen dat te doen voor ze). Ik denk dat een militair dat inderdaad ook kan, op zich is die miltair dan wel aan het hacken.
Lastig ding om goed op te lossen.

Een relatief makkelijke manier is alles extreem sandboxen waarbij geen onderlinge data gedeeld kan worden. Dan heb je 0,0 aan dit soort spyware. Echter dat is niet gebruiksvriendelijk. Want gebruikers willen gewoon via App a naar App b kunnen gaan als dit de flow is. Bijvoorbeeld van de Bol app naar je bankieren app om je bestelling te betalen.

Misschien zouden bepaalde informatie altijd encrypted zijn met een 4k sleutel (of meer zelfs). Dat men dat hard moet aangeven, wil je dat APP x al je wachtwoorden kan zien en mogelijk versturen. Dat bepaalde app's zoals lastpass ook de mogelijkheid krijgen om in zo'n extreem zware sandbox te draaien. (Niet bij andere data in soort gelijke sandboxen kunnen).

Maar ik vind het moreel zeer verwerpelijk dit soort dingen gedaan worden. Maar geheime diensten hebben geen moreel, dat word elke keer weer bevestigd.
Meer sandboxen gaat niets oplossen. Vooral iOS zit al vol met sandboxing, maar dit soort malware maakt gebruik van zero-day exploits die dat allemaal bypassen
Er zijn wel endpoints/hooks waar je tegenaan kunt lullen van de sandbox's. Als een sandbox geclassificeerd is al extra secure, moet het moeilijker worden om daar tegen te praten.

Dan heb je nog steeds wel last van zero-days, echter hoe meer er regelt is qua afschermen bij design hoe minder je hebt aan een zero-day. Ik zeg ook niet dat dit de ultieme oplossing is. Maar elke stap extra qua beveiliging is niet verkeerd. De ketting is natuurlijk maar zo sterk als de zwakste schakel.
Zelfs als de link via SMS verstuurd wordt, moet de app zelf toch uit de officiele Android of iOS store halen, tenzij je sideloading toestaat?
Android en iOS kunnen allebei sideloaden. Bij Android moet je wat hoepels door maar kun je in principe gewoon elke APK openen (en dat doen mensen maar ook als ze ineens niks meer kunnen met hun telefoon), bij iOS kan dit door Apple een som geld te betalen om een enterprise-certificaat te krijgen. Met zo'n enterprisecertificaat kun je in principe met een browserlink naar wat metadata een IPA sideloaden. Dat is wat Google's analyse aangeetf dat hier gebeurd is en dat klinkt heel logisch.

Omdat dit alleen bedoeld is voor "enterprise" weten veel iOS-gebruikers niet van deze mogelijkheid, maar het zit er al jaren in.
Toch gek dat mensen inmiddels zo verslaafd zijn geworden (zie voormalig Android ontwikkelaar Tristan Harris https://www.tristanharris.com/) dat bij het even uitschakelen van de dataverbinding er direct op een link in een wazig sms bericht wordt geklikt.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.



Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee