Hivatalos forrásból ugyan nem lehetne telepíteni, a terjesztők találtak megoldást ennek megkerülésére.
A Google Thread Analysis Group legújabb kutatásából derül ki, hogy a vállalat jelentése szerint egyes internetszolgáltatók a terjesztőkkel együttműködve kapcsolják ki az áldozat mobiladatait, ezzel sebezhetővé téve őket.
A hírhedt Pegasus-botrány mellett az utóbbi időszakban a Hermit nevű kémprogram felbukkanását jelentették, az információk szerint pedig az olasz, illetve a kazah kormány is használta azt. Korábban a Lookout nevű biztonsági csoport a programot az RCS Labs nevű megfigyelő céghez kötötte, amely hasonló a korábban a magyar kormányt is botrányba hozó NSO Group csapatához, akik a Pegasus mögött állnak. A Hermit működését tekintve is hasonlít az említett programra.
A Lookout jelentésében leírtak szerint a Hermit egy moduláris fenyegetés, amely képes egy központi vezérlő szerverről adatokat letöltve folyamatosan fejlődni, új veszélyforrásokat jelentve ezzel az áldozat számára. Ez lehetővé teszi, hogy a kémprogram hozzáférjen az áldozat eszközén lévő híváslistákhoz, helymeghatározáshoz, fényképekhez és szöveges üzenetekhez. A Hermit emellett képes hangfelvételeket készíteni, telefonhívásokat kezdeményezni és lehallgatni, valamint rootolni egy Android-eszközt, ami teljes ellenőrzést biztosít számára az alapvető operációs rendszer felett.
A kémprogram úgy képes megfertőzni mind az Android, mind az iPhone készülékeket, hogy legitim forrásnak álcázza magát, jellemzően egy mobilszolgáltató vagy üzenetküldő alkalmazás formájában. A Google kiberbiztonsági kutatói megállapították, hogy egyes támadók valójában az internetszolgáltatókkal együttműködve leállították az áldozat adatforgalmát, ezután SMS-ben az áldozat mobilszolgáltatójának adták ki magukat, és azzal hitegették a felhasználókat, hogy egy, a Hermit kémprogramot tartalmazó fertőzött alkalmazás letöltésével helyreáll az internetkapcsolatuk. Ha a támadók nem tudtak együttműködni egy internetszolgáltatóval, a Google szerint látszólag hitelesnek tűnő üzenetküldő alkalmazásoknak adták ki magukat, amelyek letöltésére rávették a felhasználókat.
A Lookout és a TAG kutatói szerint a Hermitet tartalmazó alkalmazásokat soha nem tették elérhetővé a Google Play vagy az Apple App Store-on keresztül. A támadók azonban az Apple Developer Enterprise Programjába való beiratkozással tudtak fertőzött alkalmazásokat terjeszteni iOS-en. Ez lehetővé tette számukra, hogy megkerüljék az App Store szabványos átvilágítási folyamatát, és olyan tanúsítványt szerezzenek, amely megfelel az iOS elvárásainak bármilyen Apple eszközön.
Az Apple a The Verge-nek elmondta, hogy azóta visszavonta a fenyegetéssel kapcsolatos fiókokat és tanúsítványokat. A Google az érintett felhasználók értesítése mellett egy Google Play Protect frissítést is eljuttatott az összes felhasználóhoz.
