Hermit移动间谍软件通过当地运营商传播，感染手机监听窃密

最近的网络安全研究中发现，哈萨克斯坦政府在其境内使用了一种名为 Hermit（隐士）的移动间谍软件，通过ISP运营商进行传播，收集敏感信息并对用户进行监视。

谷歌威胁分析团队 (TAG) 表示，谷歌在发现该间谍软件的传播后就通知了受感染的Android终端用户，并更新了Android内置的防御软件的策略，以应对该间谍软件的传播。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Hermit移动间谍软件是一家名为 RCS Lab 的意大利公司的产品，上周 Lookout 记录了其模块化功能集及其收集敏感信息（如通话记录、联系人、照片、精确位置和 SMS 消息）的能力。

一旦该间谍软件彻底渗透到设备中，除了滥用其对 Android 上的无障碍服务的权限以密切监视受害者使用的各种前台应用程序外，它还可以录制音频、拨打和重定向电话。它的模块化还使其可以完全定制，使间谍软件的功能可以随意扩展或更改。

Hermit移动间谍软件是网络战争场景下用于攻击移动终端及其背后使用者的一个例子，目标通过偷偷下载作为初始感染媒介的手机感染了间谍工具，这反过来又需要在 SMS 消息中发送一个独特的链接，单击该链接会激活攻击链。

网络安全研究人员怀疑Hermit与目标的互联网服务提供商 (ISP) 合作，禁用他们的移动数据连接，然后发送一条短信，敦促收件人安装应用程序以恢复移动数据访问。

该间谍软件为了能覆盖iOS用户，通过iOS配置文件的形式，利用iOS企业开发者证书，将假冒的运营商应用程序加载到iOS设备上，通过这种方式无需在App Store上下载应用程序，在该恶意行为被披露后，苹果就将和该恶意间谍软件相关的苹果开发者账户和证书进行了撤销。

在对Hermit移动间谍软件的iOS版本进行分析时发现，其中利用了多达6个漏洞，分别CVE -2018-4344 、CVE-2019-8605、CVE-2020-3837、CVE-2020-9907、CVE-2021-30883 和 CVE-2021-30983，通过综合利用这些漏洞可以从设备中窃取文件，甚至可以窃取WhatsApp应用程序在设备本地的数据库文件。

谷歌在2021年发现的9个Android零日漏洞中，有7个都是由商业公司挖掘出来并进行商业化应用，出售给各种网络武器研发机构，类似RCS Lab和NSO这样的网络战武器提供商都在积极储备零日漏洞作为战略资源，这给安全防御带来了重大的挑战。