Un logiciel de surveillance d’entreprise surnommé Hermit a été mis à profit par des entités opérant à l’intérieur du Kazakhstan, de la Syrie et de l’Italie depuis 2019, comme l’ont révélés des chercheurs en sécurité.
Lookout le logiciel d’espionnage, qui est fait pour cibler à la fois Android et iOS, dans des société italienne nommée RCS Lab S.p.A et Tykelab Srl, un fournisseur de services de télécommunications qu’il soupçonne d’être une société écran. La société de cybersécurité basée à San Francisco a déclaré avoir détecté la campagne visant le Kazakhstan en avril 2022.
Hermit est modulaire et doté d’une myriade de capacités qui lui permettent « d’exploiter un appareil enraciné, d’enregistrer des données audio et de passer et rediriger des appels téléphoniques, ainsi que de collecter des données telles que les journaux d’appels, les contacts, les photos, la localisation de l’appareil et les SMS« , ont déclaré les chercheurs de Lookout Justin Albrecht et Paul Shunk dans un nouvel article.
Le spyware serait distribué par le biais de SMS qui incitent les utilisateurs à installer des applications apparemment inoffensives de Samsung, Vivo et Oppo, qui, une fois ouvertes, chargent un de l’entreprise usurpée tout en activant furtivement la chaîne d’élimination en arrière-plan.
Comme d’autres menaces de logiciels malveillants Android, Hermit est conçu pour abuser des autorisations d’accès aux services et autres composants essentiels du système d’exploitation (contacts, appareil photo, calendrier, presse-papiers, etc.) pour la plupart de ses activités malveillantes.
Les appareils Android ont déjà été la cible de logiciels espions par le passé. En novembre 2021, l’acteur de la menace repéré sous le nom d’APT-C-23 (alias Arid Viper) a été lié à une vague d’attaques visant des utilisateurs du Moyen-Orient avec de nouvelles variantes de FrozenCell.
Puis, le mois dernier, le groupe d’analyse des menaces (TAG) de Google a révélé qu’au moins des acteurs soutenus par des gouvernements et situés en Égypte, en Arménie, en Grèce, à Madagascar, en Côte d’Ivoire, en Serbie, en Espagne et en Indonésie achètent des exploits zero-day Android pour des campagnes de surveillance secrètes.
« RCS Lab, un développeur connu et actif depuis plus de trois décennies, opère sur le même marché que le développeur de Pegasus, NSO Group Technologies et Gamma Group, qui a créé FinFisher« , notent les chercheurs.
Collectivement, ces sociétés sont connues sous le nom de « sociétés d’interception légale » et prétendent ne vendre qu’à des clients ayant un usage légitime des logiciels de surveillance, tels que les services de renseignement et les forces de l’ordre. En réalité, ces outils ont souvent été utilisés de manière abusive sous couvert de sécurité nationale pour espionner des dirigeants d’entreprise, des militants des droits de l’homme, des journalistes, des universitaires et des fonctionnaires.«
Ces conclusions interviennent alors que le groupe NSO, basé en Israël, serait en pourparlers pour vendre sa technologie Pegasus à l’entreprise de défense américaine L3Harris, qui fabrique les traceurs de téléphones cellulaires StingRay, ce qui suscite des inquiétudes quant à la possibilité pour les forces de l’ordre américaines d’utiliser cet outil de piratage controversé.
Le fabricant allemand de FinFisher s’est attiré ses propres ennuis à la suite des descentes de police effectuées en 2020 par les autorités chargées de l’enquête pour des violations présumées des lois sur le commerce extérieur, du fait de la vente de ses logiciels espions en Turquie sans avoir obtenu la licence requise.
Au début du mois de mars, il a mis fin à ses activités et déposé une demande d’insolvabilité, ont rapporté Netzpolitik et Bloomberg, ajoutant que « le bureau a été dissous, les employés ont été licenciés et les activités commerciales ont cessé. »