Spyware dapat menginfeksi Android dan iPhone dengan menyamar sebagai sumber yang sah, biasanya dalam bentuk operator seluler atau aplikasi perpesanan. Peneliti keamanan siber Google menemukan bahwa beberapa penyerang benar-benar bekerja dan ISP untuk mematikan data seluler korban untuk melanjutkan skema mereka.

Pelaku jahat kemudian akan menyamar sebagai operator seluler korban melalui SMS dan menipu pengguna agar percaya bahwa unduhan aplikasi berbahaya akan memulihkan konektivitas internet mereka. Jika penyerang tidak dapat bekerja dengan ISP, Google mengatakan mereka menyamar sebagai aplikasi perpesanan yang tampaknya asli yang menipu pengguna untuk mengunduh.

Peneliti dari Lookout dan TAG mengatakan aplikasi yang mengandung Hermit tidak pernah tersedia melalui Google Play atau Apple App Store. Namun, penyerang dapat mendistribusikan aplikasi yang terinfeksi di iOS dengan mendaftar di Program Perusahaan Pengembang Apple.

Cara ini memungkinkan aktor jahat untuk melewati proses pemeriksaan standar App Store dan mendapatkan sertifikat yang “memenuhi semua persyaratan penandatanganan kode iOS pada perangkat iOS apa pun.”

Apple mengatakan kepada The verge bahwa mereka telah mencabut akun atau sertifikat yang terkait dengan ancaman tersebut. Selain memberi tahu pengguna yang terpengaruh, Google juga telah mendorong pembaruan Google Play Protect ke semua pengguna.