Експертите идентификуваа злонамерна апликација наречена Process Manager која делува како шпионски софтвер за Android и пренесува информации до хакерите.
Претходно непознатиот малициозен софтвер за Android е поврзан со руската хакерска група Турла, откако беше откриено дека апликацијата ја користела инфраструктурата што претходно и се припишувала на таа група.
Турла е руска хакерска група поддржана од државата, позната по тоа што користи прилагоден малициозен софтвер за таргетирање на европски и американски системи, првенствено шпионажа.
Турла неодамна беше поврзан со малициозен софтвер Sunburst backdoor, користен во напад на синџирот на снабдување SolarWinds во декември 2020 година.
Експертите од Lab52, одделот за разузнавачки закани на меѓународната компанија за сајбер безбедност S2 Grupo, идентификуваа злонамерна апликација наречена Process Manager која делува како шпионски софтвер за Android и пренесува информации до хакерите.
Иако не е јасно како се дистрибуира шпионскиот софтвер, откако ќе се инсталира, Process Manager се обидува да го скрие на уредот со Android користејќи икона запченик, преправајќи се дека е компонента на оперативниот систем.
По првото лансирање, апликацијата бара од корисникот да му дозволи да ги користи следните 18 дозволи:
- Пристап до груба локација
- Пристап до добра локација
- Пристапете до статусот на мрежата
- WiFi пристап
- Камера
- Форграунд
- Интернет
- Променете ги аудио поставките
- Прочитајте евиденција за повици
- прочитајте ги контактите
- Читање екстерна меморија
- Екстерна меморија
- Прочитајте го статусот на телефонот
- Читајте СМС пораки
- Receive Boot Completed – сигнал кој го испраќа апликацијата за време на процесот на покревање, што покажува дека системот навистина се рестартира
- Снимање на звук
- Испраќање СМС пораки
- Дневник за будење
Не е јасно дали злонамерниот софтвер ја злоупотребува услугата за пристапност на Android за да си даде дозволи или го мами корисникот да го одобри барањето сам. По добивањето дозволи, шпионскиот софтвер ја отстранува својата икона и работи во позадина со само трајно известување кое укажува на неговото присуство.
Овој аспект е прилично чуден за шпионскиот софтвер, кој обично треба да се обиде да остане скриен од жртвата, особено ако е дело на софистицирана група за напредни постојани закани (APT).
Информациите собрани од уредот, вклучувајќи списоци, записи, СМС, снимки и известувања за настани, се испраќаат во JSON формат до серверот за команди и контрола на 82.146.35 [.] 240.
Начинот на дистрибуција на самата апликација е непознат, но ако навистина е Турла, тие најчесто користат социјален инженеринг, фишинг и други напади, па може да биде било кој метод на дистрибуција.
Овие дозволи претставуваат сериозен ризик за приватност, бидејќи му дозволуваат на споменатиот малициозен софтвер да ја преземе локацијата на уредот, да испраќа и чита текстови, да пристапува до складиштето, да фотографира со камерата и да снима звук.
Додека ја истражувале апликацијата, тимот на Lab52 исто така откри дека презема дополнителни корисни оптеретувања на уредот и откри случај на апликација преземена директно од Play Store.
Апликацијата се вика „Roz Dhan: Make Money in Your Wallet“ и е многу популарна, со 10.000.000 преземања и содржи систем на препораки за генерирање пари.
Наводно шпионскиот софтвер го презема Андроид пакет (APK) преку систем за упатување апликации, веројатно за да заработи провизија, што е малку чудно со оглед на тоа што хакерската група е фокусирана на сајбер шпионажа. Но, таквата тактика може да помогне да се прикријат и збунат аналитичарите.