Le TAG de Google alerte sur le logiciel espion Hermit
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
![Image [Fuites de données :] quel bilan après cinq ans de RGPD ?](https://incyber.org//wp-content/uploads/2024/03/incyber-news-datacenter-cybersecurite-cybersecurity-885x690.jpg)
Quinze jours après Lookout, le TAG de Google met à son tour en garde les utilisateurs d’appareils iOS et Android contre un logiciel-espion, Hermit, qui circulerait notamment en Italie et au Kazakhstan.
Mi-juin 2022, Lookout a publié une mise en garde contre un logiciel-espion pour terminaux mobiles iOS ou Android, baptisé Hermit, visant les salariés de grandes entreprises et d’administrations, notamment actif en Italie et au Kazakhstan.
Fin juin 2022, les analystes du TAG de Google ont publié une note de blog confirmant cette menace. Elle indique notamment qu’une fois installé, Hermit peut utiliser le micro de l’appareil pour enregistrer des contenus audio, il peut aussi rediriger ou passer des appels téléphoniques, et voler diverses données – SMS, journaux d’appels, listes de contacts, photos, localisations GPS…
Les souches du virus se trouveraient exclusivement dans des applications téléchargées à partir d’hôtes tiers (et non via les magasins d’applis officiels).
Lookout avait ainsi analysé une souche issue d’un fichier APK pour Android. Une fois téléchargé, le logiciel-espion se déguise en application Android, puis utilise Firebase dans le cadre de son infrastructure C2. « Bien que l’APK lui-même ne contienne pas d’exploits, le code laisse entrevoir la présence d’exploits qui pourraient être téléchargés et exécutés », détaille Lookout.
Les équipes de Google ont de leur coté mis en évidence un échantillon d’Hermit dans un appareil iOS, qui contenait un exploit d’élévation de privilèges qui pouvait être déclenché par six vulnérabilités.
Quatre de ces vulnérabilités étaient connues, et le TAG de Google estime que les deux autres ont pu être exploitées en tant que failles zero-day par Hermit, avant d’être corrigées en décembre 2021 par Apple.
Google et Lookout sont par ailleurs d’accord pour attribuer Hermit à RCS Lab, une société italienne. Cette dernière s’est défendue en expliquant qu’elle « exporte ses produits dans le respect des règles et réglementations nationales et européennes », et que « toute vente ou mise en œuvre de produits n’est effectuée qu’après avoir reçu une autorisation officielle des autorités compétentes ».
À ce jour, rien n’indique encore une éventuelle utilisation d’Hermit par des gouvernements.