Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане Новость
26.01.2024
Взлом Microsoft российскими хакерами и его значение в сфере кибербезопасности
16.01.2024
iIT Distribution расширяет свой портфель, становясь официальным дистрибьютором Fastly
06.01.2024
Сравнение безопасности кастомного и коммерческого программного обеспечения
27.12.2023
Что нового предлагает NAKIVO Backup & Replication v10.11Beta
23.11.2023
Расширенное отслеживание угроз: iIT Distribution анонсирует партнерство с вендором SOCRadar
02.11.2023
Cisco покупает Splunk, но как убедить клиентов Splunk, что у Cisco есть преимущества
01.11.2023
CrowdStrike обеспечивает 100% покрытие по результатам MITRE Engenuity ATT&CK® Evaluations: раунд 5
31.10.2023
Топ 20 потрясающих статистических фактов связанных с утечками данных в 2023 году
08.09.2023
ЗЛОУМЫШЛЕННИКИ МОГУТ "ВОЙТИ С ПОМОЩЬЮ MICROSOFT" В AZURE ACTIVE DIRECTORY ИЗ-ЗА УЯЗВИМОСТИ NOAUTH
31.08.2023
Мгновенная репликация с NAKIVO Backup & Replication v10.10 Beta
22.08.2023
iIT Distribution ─ официальный дистрибьютор компании LogRhythm!
01.08.2023
Эффективная коммуникация: корпоративные мессенджеры или электронная почта?
25.07.2023
Infinidat расширяет поддержку гибридных облачных хранилищ в InfuzeOS Cloud Edition
13.07.2023
Falcon Insight для ChromeOS: первое в отрасли нативное предложение XDR для ChromeOS
13.06.2023
Открываем новые горизонты: iIT Distribution – официальный дистрибьютор компании Gatewatcher
09.05.2023
GTB Technologies — лучшее решение в области DLP
27.04.2023
Очередная революция в области кибербезопасности от CrowdStrike топ 5 важных вещей, которые стоит знать об управляемом XDR (MXDR)
04.04.2023
Платформа CrowdStrike Falcon обнаруживает и предотвращает активные вторжения, нацеленные на пользователей 3CXDesktopApp
24.03.2023
Labyrinth Deception Platform v2.0.51: заметки к релизу
23.03.2023
SIEM vs Система управления логами: что нужно знать, чтобы выбрать лучшее решение
15.03.2023
CrowdStrike Falcon назван победителем премии AV-TEST 2022 за лучший продукт для защиты MacOS
09.03.2023
Обновление в приложении Threema Work: Зашифрованные групповые звонки теперь доступны на устройствах Android
07.03.2023
Отчет о глобальных угрозах 2023 года от CrowdStrike: Устойчивый бизнес борется с непрекращающимися угрозами
28.02.2023
CrowdStrike третий раз подряд занимает первое место в отчете IDC по доле мирового рынка решений для защиты конечных точек
15.02.2023
О лидерстве в области унифицированных систем хранения данных высокого класса: Эксклюзивное интервью с Филом Буллингером, генеральным директором Infinidat
10.02.2023
Защита PostgreSQL от кампаний криптоджекинга в Kubernetes
30.01.2023
Что нового предлагает NAKIVO Backup & Replication v10.8: Обзор релиза
12.01.2023
CrowdStrike назван лидером в рейтинге Cyber Threat Intelligence 2022 по версии Frost & Sullivan
05.01.2023
Как создать киберстратегию в условиях растущих угроз?
26.12.2022
Новый поставщик в портфеле iIT Distribution: подписание партнерского соглашения с компанией Threema
12.12.2022
Лучшие методы предотвращения и защиты от DDoS-атак
28.11.2022
Пост-релиз: Мультивендорная конференция - Как это было?
21.11.2022
Как хакеры могут обойти многофакторную аутентификацию
09.11.2022
CrowdStrike получила сертификацию Red Hat OpenShift: Оптимизация видимости и автоматизация защиты для OpenShift
04.11.2022
Infinidat 5-й год подряд признана лидером в рейтинге Gartner Magic Quadrant для первичных систем хранения данных
01.11.2022
Неотложные меры киберзащиты в условиях международной напряженности и кибервойны
19.10.2022
Новая версия NetBrain Release 11: ключ к снижению стоимости NetOps
18.10.2022
Рост доходов от кибербезопасности: CrowdStrike планирует стать крупным корпоративным ИТ-игроком
05.10.2022
CrowdStrike объявила о приобретении Reposify для снижения рисков внешних атак и усиления безопасности клиентов
22.09.2022
Kubernetes против Docker: в чем между ними разница?
16.09.2022
Infinidat расширяет функции NVMe/TCP для сред VMware
15.09.2022
Новые возможности InfiniBox от Infinidat: vVols репликация для VMware сред
01.09.2022
Индикаторы атак на основе искусственного интеллекта позволяют максимально быстро прогнозировать и останавливать угрозы
11.08.2022
iIT Distribution – официальный дистрибьютор WALLIX в Казахстане
03.08.2022
Истории с Dark Web: Отслеживание подпольной экономики eCrime улучшает эффективность киберзащиты
22.07.2022
Развитие ботнетов и DDoS-атак
14.07.2022
Lookout обнаружила шпионское ПО для Android, развернутое в Казахстане
11.07.2022
Выявление и смягчение атак NTLM-ретрансляции, нацеленных на контроллеры домена Microsoft
20.06.2022
ЧТО ТАКОЕ ДЕМОКРАТИЗАЦИЯ ДАННЫХ?
07.06.2022
Неизменные резервные копии: что вам нужно знать, чтобы защитить свои данные
22.05.2022
Украинские Киберактивисты Использовали Скомпрометированные Docker Honeypots Для Антироссийских Dos-Атак
06.05.2022
ЧТО НОВОГО В LABYRINTH DECEPTION PLATFORM: РЕЛИЗ 2.0.32
24.04.2022
PALO ALTO NETWORKS проинформировала об уязвимостях, которые могут разрешить злоумышленникам отключить платформу CORTEX XDR
22.04.2022
Новейшая разработка Falcon XDR от компании CrowdStrike теперь доступна для пользователей!
22.04.2022
Как не стать непроизвольным сообщником российских кибератак на украинские системы (Part 3)
21.04.2022
Как не стать «непроизвольным сообщником» российских кибератак на украинские системы (часть 2)
21.04.2022
ИССЛЕДОВАНИЕ SECURITY-ГРУППЫ A10 NETWORKS: КАК НЕ СТАТЬ «НЕПРОИЗВОЛЬНЫМ СООБЩНИКОМ» РОССИЙСКИХ КИБЕРАТАК НА УКРАИНСКИЕ СИСТЕМЫ
21.04.2022
Inspur — компания №1 по доле мирового рынка AI-серверов!
21.04.2022
Теперь компания iIT Distribution – официальный дистрибьютор решений Picus Security!
21.04.2022
Отчет о глобальных угрозах 2022 года от CrowdStrike!
21.04.2022
iIT Distribution подписала партнерское соглашение с компанией Inspur!
26.03.2022
INSPUR ВТОРОЙ ГОД ПОДРЯД СТАНОВИТСЯ ОБРАЗЦОВЫМ ПОСТАВЩИКОМ CLOUD-OPTIMIZED ОБОРУДОВАНИЯ ПО ВЕРСИИ GARTNER HYPE CYCLE
03.02.2022
Знакомство с процессами Security Operations Center (SOC) и лучшие рекомендации для его эффективной работы от Lepide
31.12.2021
6 афер, которых лучше избежать в эти рождественские праздники. Выборка рекомендаций от Panda Security
25.11.2021
Серия вебинаров от iIT Distribution & NAKIVO: твой надежный бэкап!
25.11.2021
Решение CrowdStrike Falcon получило наивысшую оценку AAA по результатам тестирования организации SE Labs
16.11.2021
Бизнес-ужин CrowdStrike: как это было?
26.10.2021
CrowdStrike представляет первый в своем роде XDR Module, обеспечивающий выявление инцидентов в реальном времени и автоматическое реагирование по всему стеку безопасности
19.10.2021
Infinidat – лидер среди первичных систем хранения данных согласно отчету Gartner Magic Quadrant 2021
30.09.2021
Мероприятие, которое расширяет границы знаний и возможностей: Первый Ежегодный Форум по Кибербезопасности CS² DAY 2021 произвел настоящий фурор!
21.09.2021
Ведущий специалист Security-подразделения компании IBM Виталий Воропай посетит CS² DAY в качестве спикера!
16.09.2021
Представляем второго спикера CS² DAY: Михаил Кропива – Infosec Director топовой украинской IT-компании Softserve!
15.09.2021
Познакомьтесь ближе с компанией-главным партнером CS² DAY и первым спикером – Майклом Чальватцисом!
01.09.2021
iIT Distribution и CrowdStrike приглашают На CS² Day – Первый Ежегодный Форум по Кибербезопасности!
28.07.2021
Пришло время остановить страх перед новыми технологиями: как сменить привычных производителей решений и внедрить более прогрессивные технологии в свою инфраструктуру?
20.07.2021
Обеспечьте защиту данных петабайтного масштаба с молниеносным восстановлением!
12.07.2021
Infinidat — лучший выбор клиентов Gartner Peer Insights 2021!
06.07.2021
CrowdStrike заняла первое место по доле рынка Modern Endpoint Security 2020!
20.06.2021
Анонс нового продукта для хранения данных корпоративного класса InfiniBox SSA от Infinidat!
31.05.2021
Как изощренные атаки максимизируют прибыль хакеров и к каким действиям по защите необходимо прибегнуть прямо сейчас
11.05.2021
CrowdStrike во второй раз стала лидером в Gartner Magic Quadrant 2021 года среди платформ защиты конечных точек!
26.04.2021
Компания Infinidat запускает программу аккредитации партнеров!
06.04.2021
Почему провайдерам хостинга нужно обратить внимание на решение хранения данных Infinidat? Практический опыт использования
30.03.2021
CrowdStrike назван лидером среди сервисов по обнаружению угроз информационной безопасности, реагированию на них и расследованию киберинцидентов (MDR)!
24.03.2021
Falcon X от CrowdStrike признан лидером в отчете Forrester Wave: External Threat Intelligence Services за первый квартал 2021 года!
15.03.2021
Новое исследование Forrester показывает все экономические преимущества от использования Falcon Complete!
24.02.2021
Crowdstrike объявила о приобретении ведущей высокопроизводительной лог менеджмент платформы Humio!
08.10.2020
Intelligent IT Distribution приняла участие в Третьем Ежегодном Международном Форуме «Кибербезопасность - Защитим Бизнес, Защитим Государство»
29.09.2020
iITD - партнер форума "Кибербезопасность - защитим бизнес, защитим страну" 2020
24.09.2020
Компания IIT Distribution получила статус дистрибьютора решений NetBrain Technologies на территории Украины
28.08.2020
Fal.Con 2020 від CrowdStrike
25.08.2020
Соблюдение норм страхования киберрисков
25.08.2020
Автоматично блокуйте скомпрометовані облікові записи з Lepide Active Directory Self Service 20.1
25.08.2020
Компания Cossack Labs приглашает посетить NoNameCon - iIT Distribution
22.07.2020
Подписание дистрибьюторского соглашения с компанией Safe-T
21.07.2020
Міжнародна конференція: "Online Banking - Час інновацій!"
18.06.2020
Глобальний звіт про кіберзагрози 2020
11.06.2020
Четвер, 25 червня 2020 року. Не пропустіть!
20.05.2020
Звіт PandaLabs: Розуміння загроз 2020
05.05.2020
Анонс: новая версия Acra Enterprise, который обеспечивает повышенную гибкость для высоконагруженных систем
13.04.2020
Lepide Remote Worker Monitoring Pack – это простая в развертывании и легкая платформа безопасности, которая предлагает немедленную защиту данных бизнеса в течение непредвиденного периода удаленной работы.
12.04.2020
Обеспечение кибербезопасности для удалённых пользователей
08.04.2020
Labyrinth Technologies предлагает воспользоваться специальным предложением - лицензия на 12 месяцев по цене 6 месяцев.
07.04.2020
CrowdStrike: удаленная работа и IT-безопасность во время кризиса - сокращенная лицензионная программа на 3-6 месяцев
23.03.2020
Компания iIT Distribution получила статус дистрибьютора решений RedSeal Networks на территории Украины.
23.03.2020
Компания iIT Distribution получила статус дистрибьютора решений Lepide на территории Украины.
16.03.2020
Компания iIT Distribution начинает дистрибуцию решений CrowdStrike на территории Украины.
19.02.2020
20 лютого у Києві відбудеться щорічна конференція CISO DX DAY 2020
Исследователи Lookout Threat Lab обнаружили программы слежения корпоративного уровня для Android, используемые правительством Казахстана. Хотя угроза уже давно знакома и отслеживается с помощью Lookout Endpoint Detection and Response (EDR), в апреле 2022 года, были обнаружены новые образцы этого ПО.
Согласно результатам анализа, шпионское ПО с названием "Hermit", скорее всего, разработано итальянским поставщиком такого рода программ RCS Lab S.p.A. и Tykelab Srl – компанией по разработке телекоммуникационных решений, которая, скорее всего, является подставной.
Это не первый случай применения Hermit. Мы знаем, что итальянские власти использовали его в антикоррупционной операции в 2019 году. Мы также обнаружили доказательства того, что неизвестный агент использовал его в северо-восточной Сирии, преимущественно курдском регионе, где происходят многочисленные региональные конфликты.
RCS Lab, известный разработчик, действующий уже более трех десятилетий, работает на том же рынке, что и разработчик Pegasus - NSO Group Technologies и Gamma Group, создавшая FinFisher. Объединенные под брендом компаний, занимающихся "законным перехватом", они утверждают, что продают свои продукты только клиентам, которые могут законно использовать программное обеспечение для наблюдения, например, спецслужбам и правоохранительным органам. В действительности такие инструменты часто используются под прикрытием национальной безопасности для шпионажа за руководителями предприятий, правозащитниками, журналистами, учеными и чиновниками.
Что такое Hermit?
Названный в честь отдельного пути к серверу, который используется Command and Сontrol (C2) инфраструктурой злоумышленника, Hermit — это модульная программа наблюдения, которая скрывает свои вредоносные возможности в пакетах, загружаемых после ее развертывания.
В ходе исследования было проанализировано 16 из 25 известных модулей, каждый из которых обладает уникальными возможностями. Эти модули, вместе с разрешениями, которыми обладают основные приложения, позволяют Hermit использовать корневое устройство: записывать аудио, совершать и перенаправлять телефонные звонки, а также собирать такие данные, как журналы вызовов, контакты, фотографии, местоположение устройства и SMS-сообщения.
Предполагается, что шпионское ПО распространяется через SMS-сообщения, исходящих от якобы надежного источника. Проанализированные образцы вредоносного ПО выдавали себя за приложения телекоммуникационных компаний или производителей смартфонов. Hermit обманывает пользователей, открывая официальные веб-страницы брендов, за которые он себя выдает, в то время как вредоносная деятельность запускается в фоновом режиме.
Существует версия Hermit и для iOS устройств, но пока нет возможности проанализировать ее.
Развертывание в Казахстане
Анализ показывает, что Hermit не только был развернут в Казахстане, но и что за этой кампанией, вероятно, стоит один из представителей правительства страны. Насколько известно, это первый случай, когда был выявлен заказчик мобильного вредоносного ПО, разработанного RCS Lab.
Впервые образцы из этой кампании были обнаружены в апреле 2022 года. Они назывались "oppo.service" и выдавали себя за китайского производителя электроники Oppo. Веб-сайт, который программа использовала для маскировки своей вредоносной активности, — это официальная страница поддержки Oppo (http://oppo-kz.custhelp[.]com), которая с тех пор не работает. Также были обнаружены образцы, выдающие себя за Samsung и Vivo.
Страница поддержки Oppo загружается и отображается для пользователей, в то время как вредоносные действия происходят в фоновом режиме.
Образцы, использованные в казахстанской целевой кампании, подключались к С2-адресу 45.148.30[.]122:58442. Однако дальнейший анализ сервера C2 шпионской программы показал, что этот IP-адрес используется в качестве прокси для реального сервера C2 по адресу 85.159.27[.]61:8442. Реальный IP-адрес C2 администрируемый STS Telecom, небольшим интернет-провайдером (ISP), работающим из Нур-Султана, столицы Казахстана. Судя по скудным онлайн-записям, STS специализируется на "других проводных телекоммуникациях" и кабельных услугах.
Взаимодействие с плохо настроенным сервером C2 выявило истинный IP-адрес C2.
Сирия, Италия и другие мишени
До выявления образцов из Казахстана в пассивных DNS-записях Hermit было обнаружено упоминание "Рожавы", курдоязычного региона на северо-востоке Сирии. Это важно, поскольку регион является местом постоянных кризисов, таких как гражданская война в Сирии и конфликты между Исламским государством (ИГ) и коалицией во главе с США, поддерживающей возглавляемые курдами Сирийские демократические силы (SDF). Совсем недавно Турция провела ряд военных операций против SDF, которые привели к частичной оккупации региона.
Обнаруженный домен (rojavanetwork[.]info) имитирует "Сеть Рожавы", социальный бренд в Facebook и Twitter, который освещает новости и проводит политический анализ региона, часто в поддержку операций SDF.
Домен rojavanetwork[.]info, по-видимому, специально имитирует «Rojava Network», бренд социальных сетей в Facebook и Twitter, который освещает новости и политический анализ региона, часто в поддержку операций SDF.
За пределами Сирии Hermit был развернут в Италии. Согласно документу, опубликованному нижней палатой парламента Италии в 2021 году, итальянские власти использовали его в антикоррупционной операции. В документе упоминается версия Hermit для iOS.
Технический анализ: расширенные возможности Hermit
Hermit — это высоко конфигурируемая программа наблюдения с корпоративными возможностями по сбору и передаче данных.
Например, она использует 20 с лишним параметров, что позволяет любому оператору настроить ее под свою кампанию. Шпионская программа также пытается сохранить целостность данных собранных "улик", отправляя код аутентификации сообщений на основе хэша (HMAC). Это позволяет определить, кто отправил данные, а также убедиться, что они не изменились. Использование этого метода для передачи данных может обеспечить доступ к собранным доказательствам.
Чтобы скрыть свои истинные намерения, Hermit построен по модульному принципу. Это означает, что вредоносная функциональность скрыта в дополнительных полезных нагрузках, которые программа загружает по мере необходимости.
Как он обманывает жертв и избегает обнаружения
Как уже упоминалось, Hermit притворяется, что исходит от настоящих организаций, а именно телекоммуникационных компаний или производителей смартфонов. Чтобы сохранить этот фасад, программа загружает и отображает веб-сайт компании, за которую себя выдает, одновременно с началом вредоносной деятельности в фоновом режиме.
Первый вредоносный шаг - расшифровка встроенного конфигурационного файла со свойствами, которые используются для связи с сервером C2. Но, прежде чем связь произойдет, Hermit выполняет ряд проверок, чтобы убедиться, что его не анализируют. Это включает поиск наличия специального эмулятора и признаков того, что само приложение было модифицировано для облегчения анализа.
Модули и сбор данных
Как только вредоносная программа соединяется с C2, она получает инструкции по загрузке модулей, каждый из которых обладает определенными возможностями. Помимо модулей, разрешения, которые запрашивает программа, позволяют определить различные способы сбора данных.
Hermit может быть запрошен C2 для загрузки модулей с любого URL и последующей динамической загрузки.
В общей сложности было получено 16 модулей путем взаимодействия с IP-адресом (45.148.30[.]122:58442) "oppo.service", используемым для связи C2. Судя по идентификационным номерам, присвоенным модулям в коде Hermit, существует как минимум 25 модулей.
Внутри основного приложения мы обнаружили абстрактный класс под названием "module", который давал дополнительные подсказки о том, на что способны остальные модули. Код содержал ссылки на использование эксплойтов, что было подтверждено подсказками, найденными в полученных модулях. Хотя нам не предоставляли эксплойты во время тестирования, мы можем сказать, что эксплуатируемое устройство будет иметь локальную корневую службу, прослушивающую 127.0.0.1:500, которую вредоносная программа будет "пинговать".
Некоторые переменные намекают, что Hermit имеет модули, которые могут использовать эксплойты.
Если подтверждается, что устройство пригодно для эксплуатации, то она связывается с C2 для получения файлов, необходимых для эксплуатации устройства, и запускает свою корневую службу. Затем эта служба будет использоваться для включения повышенных привилегий устройства, таких как доступ к службам поддержки, содержимому уведомлений, состоянию использования пакетов и возможности игнорировать оптимизацию батареи.
Помимо службы root, некоторые модули ожидают или пытаются использовать доступ root напрямую через двоичный файл su. Эти модули попытаются изменить общие предпочтения приложения SuperSU, чтобы обеспечить выполнение команд root без участия пользователя.
Хотя это может быть обычной попыткой использования root без ведома пользователя, SuperSU также может быть частью неизвестного процесса эксплуатации. Если root недоступен, модули могут побудить пользователя выполнить действия, которые приведут к достижению тех же целей.
Вот модули, которые удалось получить (полное описание каждого модуля приведено в приложении):
· Accessibility Event · Audio · Camera · File download · Notification Listener | · Account · Browser · Clipboard · File upload · Screen Capture | · Address Book · Calendar · Device Info · Log · Telegram |
Как и другим оружием, шпионскими программами можно легко злоупотреблять
Поставщики так называемого "законного перехвата" шпионского ПО, такие, как RCS Lab, NSO Group и Gamma Group, обычно утверждают, что продают его только тем организациям, у которых есть законное право использовать программы наблюдения, например, полицейским структурам, борющимся с организованной преступностью или терроризмом. Однако, особенно в последние годы, поступает много сообщений о том, что шпионские программы используются не по назначению.
Hermit был развернут в Казахстане и Сирии – странах с плохими показателями в соблюдении прав человека. Даже в случае антикоррупционных операций в Италии, как утверждается, имело место неправомерное использование личных и частных данных.
В некотором смысле средства электронного наблюдения не сильно отличаются от любого другого вида оружия. Только в этом месяце, столкнувшись с финансовым давлением, генеральный директор группы NSO Шалев Хулио открыл продажу "рискованным" клиентам. Производители шпионских программ действуют в условиях секретности и ограниченного контроля, и законность использования их продуктов редко бывает столь однозначной, как они заявляют.
Как защитить себя от шпионских программ типа Hermit
Благодаря современным возможностям сбора данных и тому факту, что мы постоянно носим их с собой, мобильные устройства являются идеальной мишенью для слежки. Хотя не все мы станем жертвами сложных шпионских программ, вот несколько советов, как обезопасить себя и свою организацию:
- Обновляйте телефон и приложения: операционные системы и приложения часто имеют уязвимости, которые необходимо устранять. Обновите их, чтобы убедиться, что уязвимости устранены.
- Не нажимайте на неизвестные ссылки: один из самых распространенных способов доставки злоумышленниками вредоносного ПО - отправка сообщения, выдающего себя за законный источник. Не нажимайте на ссылки, особенно если вы не знаете их источник.
- Не устанавливайте неизвестные приложения: соблюдайте осторожность при установке неизвестных приложений, даже если источник приложения кажется легальным.
- Периодически проверяйте свои приложения: иногда вредоносные программы могут изменять настройки или устанавливать на телефон дополнительный контент. Периодически проверяйте свой телефон, чтобы убедиться, что ничего неизвестного не было добавлено.
- В дополнение к соблюдению описанных выше правил безопасности мы настоятельно рекомендуем использовать специальное решение для обеспечения безопасности мобильных устройств, чтобы исключить возможность заражения вашего устройства вредоносными программами или фишинговыми атаками.
Насколько нам известно, приложения, описанные в этой статье, никогда не распространялись через Google Play.
Индикаторы компрометации
Основные индикаторы App
SHA1 |
ca101ddfcf6746ffa171dc3a0545ebd017bf689a |
b1dfb2be760d209846f2147ce32560954d2f71b5 |
cf610aae906ffcfd52c08d6ba03d9ce2c9996ac8 |
22f49fa7fe1506d2639f08e9ae198e262396c052 |
97ead8dec0bf601ba452b9e45bb33cb4a3bf830f |
527141e1ee5d76b55b7c7640f7dcf222cb93e010 |
4f8145805eec0c4d8fc32b020744d4f3f1e39ccb |
9f949b095c2ab4b305b2ea168ae376adbba72ffb |
Индикаторы сети
IP адрес | Порт |
2.229.68[.]182 | 8442 |
2.228.150[.]86 | 8443 |
93.57.84[.]78 | 8443 |
93.39.197[.]234 | 8443 |
45.148.30[.]122 | 58442 |
85.159.27[.]61 | 8442 |
Образцы доменов, используемых в таргетированных действиях Hermit
· 119-tim[.]info · 133-tre[.]info · 146-fastweb[.]info · 155-wind[.]info · 159-windtre[.]info · iliad[.]info · amex-co[.]info · cloud-apple[.]info · fb-techsupport[.]com | · milf[.]house · mobdemo[.]info · mobilepays[.]info · kena-mobile[.]info · poste-it[.]info · rojavanetwork[.]info · store-apple[.]info · wind-h3g[.]info |
Конфигурации параметров, которые использует Hermit
Параметр | Конфигурация |
vps | Отпечаток сертификата, IP-адрес и порт для связи C2 |
p1,p3,p4,p5,p6 | Серверные конечные точки для различных соединений C2 |
redirectUrl | Это безопасный URL-адрес, открываемый при запуске приложения |
hidden | Определяет, будет ли иконка приложения скрыта. |
vpsseed | Строка, используемая вместе с android_id в качестве уникального идентификатора устройства |
certificateSignature | Предполагаемая подпись приложения. Если подпись не совпадает, приложение не будет запущено. |
wdpn | Имя пакета другого приложения, с которым взаимодействовали на устройстве |
wdcn | Имя компонента службы, содержащегося в приложении wdpn |
xAuthToken | HTTP-заголовок, добавляемый к каждому запросу для аутентификации |
psk | Предварительно созданный ключ, используемый для аутентификации сообщений |
deleteApk | Boolean, указывающий, следует ли удалять APK-файлы, если проверки на анти эмуляции провалились |
fp | Отпечаток пальца для настройки шифрования protobuf |
pk | Открытый ключ для настройки шифрования protobuf |
applicationId, gcmSenderId projectId, storageBucket apiKey | Параметры настройки службы Firebase Messaging Service |
Модули, загружаемые Hermit
Название модуля | Функция | Примечание |
Accessibility Event | Отслеживайте приложения в фоновом режиме. | |
Account | Кража сохраненных e-mail аккаунтов. | |
Address Book | Кража контактов. | |
Audio | Запись аудио. | |
Browser | Кража закладок браузера/истории поиска. | |
Calendar | Кража записей в календаре, участников. | |
Camera | Делает снимки. | |
Clipboard | Кража существующего и будущего содержимого буфера обмена. | |
Device Info | Извлечение информации об устройстве, включая: · приложения · информация о ядре · Модель · Производитель · версия ОС · номер телефона · патч безопасности
| |
File Download | Загрузка и установка файлов APK на устройство. | Использует root для скрытой установки приложений. |
File Upload | Выгрузка файлов с устройства. | Использует root для копирования файлов, к которым у приложения нет доступа. |
Log | Включение/выключение логирования. | |
Notification Listener | Эксфильтрация содержимого уведомлений. Удаление/приостановка уведомлений, которые ссылаются на приложение Hermit, но не исходят от него. | |
Screen Capture | Делает снимки экрана. | Использует root для запуска 'screencap' |
Telegram | Предлагает пользователю переустановить Telegram на устройстве с помощью загруженного APK. | Использует root для скрытого удаления/переустановки Telegram. Также копирует данные старого приложения в папку нового приложения, изменив значения контекстов SELinux и владельцев файлов |
Предлагает пользователю переустановить WhatsApp через Play Store. |
Пользователи Lookout защищены от этих угроз. Ведь платформа Lookout разработана с учетом постоянно меняющихся требований к безопасности мобильных устройств, а график безопасности Lookout использует искусственный интеллект для защиты от известных и неизвестных угроз. Компания iIT Distribution обеспечивает комплексную поддержку по внедрению эффективных решений для киберзащиты, чтобы вы и ваши данные оставались в безопасности.
Назад