# Hermit > Tipo: **spyware** (mobile) · S1061 · [MITRE ATT&CK](https://attack.mitre.org/software/S1061) ## Descrição [[s1061-hermit|Hermit]] é um spyware móvel sofisticado desenvolvido pela empresa italiana RCS Lab, descoberto pelo Google TAG (Threat Analysis Group) e pelo Lookout em 2022. O malware afeta dispositivos Android e iOS e é distribuído via links de download que imitam aplicativos legítimos de operadoras de telefonia - as vítimas são convencidas a instalar o que acreditam ser uma atualização de conta ou aplicativo da operadora. Em alguns casos documentados (Cazaquistão e Itália), a distribuição envolveu cooperação com provedores de internet para realizar ataques drive-by-download. O Hermit implementa capacidades extensas de vigilância em dispositivos móveis: captura de áudio do microfone, gravação de chamadas telefônicas, rastreamento de localização GPS em tempo real, acesso a câmera, coleta de SMS e histórico de chamadas, leitura de contatos e exfiltração de arquivos armazenados. No iOS, o Hermit explora jáilbreaks não-públicos para obter acesso privilegiado. No Android, solicita permissões extensas e explora vulnerabilidades para elevar privilégios. O malware usa comunicação out-of-band para receber comandos e enviar dados coletados. O Hermit foi usado principalmente por governos e agências de inteligência como ferramenta de vigilância direcionada, seguindo o modelo de mercado de "malware como serviço para governos" também representado pelo Pegasus (NSO Group) e FinFisher. As investigações do Google TAG identificaram implantações no Cazaquistão, Itália e Síria, ligadas a investigações criminais e jornalistas. A descoberta gerou debaté sobre o mercado de spyware comercial e o uso legítimo vs. abusivo de ferramentas de vigilância. **Plataformas:** Android, iOS ## Técnicas Utilizadas - [[t1421-system-network-connections-discovery|T1421 - System Network Connections Discovery]] - [[t1429-audio-capture|T1429 - Audio Capture]] - [[t1430-location-tracking|T1430 - Location Tracking]] - [[t1512-video-capture|T1512 - Video Capture]] - [[t1533-data-from-local-system|T1533 - Data from Local System]] - [[t1636-003-contact-list|T1636.003 - Contact List]] - [[t1636-004-sms-messages|T1636.004 - SMS Messages]] - [[t1644-out-of-band-data|T1644 - Out-of-Band Data]] ## Detecção A detecção do Hermit é difícil por design - é desenvolvido específicamente para evitar detecção. No Android, soluções de Mobile Threat Defense (MTD) como Lookout, Zimperium e Microsoft Defender for Endpoint (mobile) podem detectar comportamentos anômalos. Verificar permissões de aplicativos instalados - especialmente aplicativos de operadoras solicitando acesso a microfone, câmera e localização - é uma medida preventiva. No iOS, dispositivos com jáilbreak são mais vulneráveis; manter o iOS atualizado é a principal mitigação. A análise de tráfego de rede do dispositivo para destinos incomuns pode revelar exfiltração ativa. ## Relevância LATAM/Brasil O Brasil possui um mercado relevante de spyware comercial, com histórico documentado de uso por agências governamentais de software de vigilância para investigações criminais e de segurança nacional. O Hermit e ferramentas similares são de alta relevância para jornalistas, ativistas, advogados e figuras políticas no Brasil que podem ser alvos de vigilância direcionada por atores governamentais - nacionais ou estrangeiros. Organizações de direitos humanos e jornalismo investigativo no Brasil devem considerar proteções contra spyware móvel em seus modelos de segurança. ## Referências - [MITRE ATT&CK - S1061](https://attack.mitre.org/software/S1061) - [Google TAG - Hermit: Commercial Surveillance Spyware](https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/) - [Lookout - Hermit: Government-Grade Android Spyware](https://www.lookout.com/blog/hermit-technical-analysis)