Staatstrojaner „Hermit“ spähte iPhones und Android-Smartphones aus – Apple reagiert
Vor einigen Tagen sorgte Googles Threat Analysis Group (TAG) für Aufsehen: Das italienische Unternehmen RCS habe Malware entwickelt, um Nutzer von Android-Smartphones sowie iPhones in Italien und Kasachstan auszuspähen. Aufgrund der Zusammenarbeit mit Mobilfunkunternehmen geht die TAG von staatlicher Beteiligung aus. Tatsächlich gelang es der Spyware sogar, Anwendungen abseits von Apples App Store auf den Geräten zu installieren. Mittlerweile erhielt der Trojaner zudem einen Namen: „Hermit“. Apple reagierte bereits mit Sicherheitsupdates für iOS und legt nun weiter nach.
Hermit sorgte für App-Installationen abseits des App StoresOpfer der von RCS Labs entwickelten
Spyware erhielten eine SMS, welche sie über ihre fehlende mobile Datenverbindung informierte. Tatsächlich hatten die Mobilfunkanbieter bei den Betroffenen den Datenfunk gekappt und den Inhalt der Nachricht plausibel erscheinen lassen. Tippten die Nutzer auf den Link in der SMS, wurde eine vermeintliche Anwendung des Herstellers des Smartphones oder des Netzbetreibers installiert – tatsächlich handelten sich die Opfer aber den Staatstrojaner Hermit ein. Dass sich Apps aus einer solchen Quelle herunterladen lassen, ist bei Android mit recht wenigen Hürden verbunden – iOS sollte dem allerdings einen Riegel vorschieben. Aufgrund verschiedener Zero-Days-Exploits gelang das von Apple verschmähte Sideloading sogar auf dem iPhone.
Apple widerruft Konten und ZertifikateMittlerweile sollte die Gefahr einigermaßen gebannt sein: Apple nahm sich der Sicherheitslücken an und schloss diese im Rahmen von sechs Software-Updates: iOS 12, 12.3, 13.3.1, 13.6, 15.0.2 und zuletzt 15.2 enthalten entsprechende Fixes. Nun erklärte das Unternehmen gegenüber
9to5Mac alle mit der Spyware verbundenen Konten und Zertifikate widerrufen zu haben, sodass eine infizierte Anwendung nicht länger außerhalb des App Stores heruntergeladen werden könne. Auch auf Android-Smartphones sollte Hermit kein Unheil mehr stiften: Google informierte Betroffene und passte unter anderem „Google Play Protect“ entsprechend an, um die Malware ausfindig zu machen.