hermit - RunkIntel

# Hermit > [!warning] Spyware com Cooperação de Operadoras > O Hermit tem uma caracteristica operacional única: em varios casos confirmados, os operadores **trabalharam com a operadora de telefonia da vitima** para desativar temporariamente os dados moveis do dispositivo alvo. A vitima recebia então um SMS fraudulento pedindo que instalasse um "aplicativo da operadora" para restaurar a conectividade - que na verdade era o implante Hermit. Esta cooperação ISP/operadora foi documentada pelo Google TAG na Italia e no Cazaquistao. ## Visão Geral [[s1061-hermit|Hermit]] e um spyware modular para iOS e Android desenvolvido pela empresa italiana [[rcs-lab|RCS Lab S.p.A.]] (fundada em 1993), que opera no mesmo segmento que o [[nso-group|NSO Group]] e o [[gamma-group|Gamma Group]] (criador do FinFisher). O Lookout identificou e nomeou o Hermit em junho de 2022, quando o Google TAG públicou análise complementar confirmando a cooperação com ISPs como vetor de entrega. A RCS Lab tem historico de relacionamento com paises com registros problematicos de direitos humanos. O Hermit foi documentado como usado pelo governo do Cazaquistao contra alvos domesticos, por autoridades italianas em investigacoes de corrupcao, e em partes do norte da Siria. | Campo | Detalhe | |-------|---------| | **Tipo** | Spyware modular governamental | | **Plataformas** | Android (primario), iOS | | **Desenvolvedor** | RCS Lab S.p.A. (Milao, Italia) | | **Front company** | Tykelab Srl (telecomúnicacoes) | | **Primeira documentacao** | Junho 2022 (Lookout + Google TAG) | | **Módulos conhecidos** | 16 de 25 obtidos por Lookout | ## Como Funciona **Modelo de entrega ISP-assistido:** 1. O operador (com cooperação da operadora) desativa os dados moveis da vitima 2. A vitima recebe SMS aparentando vir da operadora com link para "corrigir o problema" 3. A vitima, sem dados e acreditando na mensagem da operadora, baixa o APK/app 4. O app - mascarado como suporte da operadora (Vodafone, Samsung, Vivo, Oppo) - instala o Hermit 5. Os dados moveis sao restaurados, reforando a credicao de que o app funcionou **Quando cooperação com ISP nao e possível:** Os operadores enviam links para apps mascarados como aplicativos de mensagem (ex: versao falsa do WhatsApp da Meta) via SMS/WhatsApp. **Arquitetura modular:** - O APK base nao contem exploits - apenas o loader e os módulos de permissoes - Módulos adicionais sao baixados do C2 conforme necessidade (DexClassLoader API no Android) - Comúnicação C2 via Firebase Cloud Messaging e Huawei Messaging Service (HTTPS com certificaté pinning) - 16 dos 25 módulos conhecidos foram analisados pelo Lookout **iOS (documentado pelo Google TAG):** - Aplicativo assinado com certificado do Apple Developer Enterprise Program (empresa "3-1 Mobile SRL") - Distribuido via protocolo `itms-services` (sideload fora da App Store) - Continha 6 exploits (4 conhecidos + 2 zero-days: CVE-2021-30883 e CVE-2021-30983) - Apple revogou o certificado enterprise após a divulgacao ## Attack Flow ```mermaid graph TB A["Selecao do alvo Número de telefone Operadora identificada"] --> B["Cooperação ISP Operadora desativa dados moveis Vitima fica sem internet"] B --> C["SMS fraudulento Parece ser da operadora Link para corrigir conectividade"] C --> D["Download do app Mascarado como app da operadora Fora da App Store / Play Store"] D --> E["Instalacao do Hermit Solicita permissoes criticas Acessibilidade / Camera / Mic"] E --> F["Módulos C2 Baixados via Firebase Certificaté pinning HTTPS"] F --> G["Vigilancia completa Localização / Chamadas / SMS Camera / Microfone / Contatos"] classDef target fill:#8e44ad,stroke:#7d3c98,color:#fff classDef isp fill:#e74c3c,stroke:#c0392b,color:#fff classDef social fill:#e67e22,stroke:#d35400,color:#fff classDef install fill:#2980b9,stroke:#1a5276,color:#fff classDef surv fill:#27ae60,stroke:#1e8449,color:#fff class A target class B,C isp class D,E social class F install class G surv ``` ## Capacidades por Módulo ```mermaid graph TB H["Hermit Core Loader + Permissoes"] --> M1["Localização GPS em tempo real T1430"] H --> M2["Audio Microfone ambiente Chamadas VOIP"] H --> M3["Dados pessoais Contatos / SMS Fotos / Email"] H --> M4["Interceptação Chamadas redirecionadas VOIP capturado"] H --> M5["Escalada root Exploits kernel Android Acesso total ao dispositivo"] H --> M6["C2 updates Novos módulos on-demand Firebase / Huawei HMS"] classDef core fill:#2c3e50,stroke:#1a252f,color:#fff classDef module fill:#3498db,stroke:#2980b9,color:#fff class H core class M1,M2,M3,M4,M5,M6 module ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | Engenharia social ISP-assistida | SMS fraudulento após desativacao de dados | | Execução | Apps fora da lojá (Enterprise cert) | iOS via `itms-services` com cert revogado | | Execução | Permissoes de acessibilidade | Android: abuso de Accessibility Service | | Persistência | Device Admin + boot receiver | Android: `RECEIVE_BOOT_COMPLETED` | | Coleta | [[t1430-location-tracking\|T1430]] | GPS em tempo real | | Coleta | [[t1409-access-stored-application-data\|T1409]] | Contatos, SMS, fotos, email, calendarios | | Coleta | [[t1512-video-capture\|T1512]] | Camera ativada remotamente | | C2 | Certificaté pinning HTTPS | Firebase + Huawei HMS para comunicação | | Evasão | Módulos dinâmicos | APK base minimalista, exploits baixados on-demand | ## Relevância LATAM/Brasil Embora nao hajá registro público de uso do Hermit no Brasil, o modelo de cooperação com operadoras de telecomúnicacoes tem implicacoes diretas para o ecossistema telecom brasileiro. O Brasil possui quatro grandes operadoras (Claro, TIM, Vivo, Oi) que, como qualquer operadora global, podem ser compelidas ou cooptadas por atores governamentais. O Hermit representa o risco emergente de **spyware comercial europeu** para o mercado brasileiro - alternativa ao ecossistema NSO/Intellexa com perfil mais baixo mas capacidades equivalentes. O [[ctir-gov|CTIR Gov]] e o [[cert-br|CERT.br]] devem monitorar indicadores de spyware modular com caracteristicas de entrega ISP-assistida. > [!tip] Detecção em Android > A Google Play Protect foi atualizada para bloquear o Hermit após a divulgacao. Organizacoes com foco em segurança de dispositivos moveis devem garantir que Play Protect este ativo e considerar soluções EDR mobile (Lookout, Zimperium) para alvos de alto risco. ## Detecção e Defesa **Android - Indicadores:** - APKs solicitando permissoes de `ACCESSIBILITY_SERVICE` de fontes fora da Play Store - Conexoes Firebase ou Huawei HMS de apps nao-reconhecidos - Downloads via `DexClassLoader` de dominios externos após instalacao de app - Processos filhos nao-esperados de apps de "suporte de operadora" **iOS - Indicadores:** - Apps instalados via `itms-services` de organizacoes desconhecidas - Verificar perfis de certificados enterprise instalados (`Settings -> General -> VPN & Device Management`) - Crashes em processos kernel (CVE-2021-30883, CVE-2021-30983) **Mitigacoes:** - Nunca instalar APKs ou apps iOS de links recebidos por SMS, mesmo aparentemente da operadora - Contato direto com a operadora via canal oficial antes de instalar qualquer "app de suporte" - Para iOS: desabilitar instalacao de apps de fontes nao-Apple - Verificar regularmente perfis enterprise instalados no iOS ## Referências - [1](https://www.lookout.com/documents/threat-reports/us/lookout-spyware-in-enterprise-tg-us.pdf) Lookout Threat Intelligence - Hermit: Enterprise-Grade Spyware (2022) - [2](https://blog.google/threat-analysis-group/italian-spyware-vendor-targets-users-in-italy-and-kazakhstan/) Google TAG - Italian Spyware Vendor RCS Lab (2022) - [3](https://techcrunch.com/2022/06/23/hermit-zero-day-android-spyware/) TechCrunch - Google Notifying Android Users Targeted by Hermit (2022) - [4](https://thehackernews.com/2022/06/researchers-uncover-hermit-android.html) The Hacker News - Hermit Android Spyware Kazakhstan Italy Syria (2022) - [5](https://zahidaz.github.io/awake/malware/families/hermit/) AWAKE - Hermit Technical Analysis (2022)