Pripazite na ovaj malware: Otkrivena ruska špijunska aplikacija koja snima i vidi sve
03.04.2022. | 10:10Stručnjaci su identifikovali zlonamjernu aplikaciju pod nazivom Process Manager koja djeluje kao špijunski softver za Android i prenosi informacije hakerima.
Ranije nepoznati malver za Android povezan je sa ruskom hakerskom grupom Turla, nakon što je otkriveno da je aplikacija koristila infrastrukturu koja je ranije pripisana toj grupi.
Turla je ruska hakerska grupa koju podržava država poznata po tome što koristi prilagođeni malver za ciljanje evropskih i američkih sistema, prvenstveno za špijunažu.
Turla je nedavno bila povezana sa Sunburst backdoor malverom, korišćenim u napadu na lanac snabdijevanja SolarWinds u decembru 2020.
Špijunski softver?
Stručnjaci iz Lab52, odjeljenja za obavještajne prijetnje međunarodne kompanije za sajber bezbjednost S2 Grupo, identifikovali su zlonamjernu aplikaciju pod nazivom Process Manager koja djeluje kao špijunski softver za Android i prenosi informacije hakerima.
Iako nije jasno kako se špijunski softver distribuira, nakon što je instaliran, Process Manager pokušava da ga sakrije na Android uređaju pomoću ikone zupčanika, pretvarajući se da je komponenta operativnog sistema.
Nakon prvog pokretanja, aplikacija traži od korisnika da mu dozvoli korišćenje sljedećih 18 dozvola:
– Pristup gruboj lokaciji
– Pristup dobroj lokaciji
– Status mreže pristupa
– WiFi pristup
– Kamera
– Foreground
– Internet
– Promijenite audio podešavanja
– Pročitajte evidenciju poziva
– Pročitajte kontakte
– Čitanje eksterne memorije
– Eksterna memorija
– Pročitajte status telefona
– Pročitajte SMS poruke
– Receive Boot Completed – signal koji se šalje aplikacijama tokom procesa pokretanja, što ukazuje da je sistem zaista ponovo pokrenut
– Snimanje zvuka
– Slanje SMS poruka
– Dnevnik buđenja
Nakon dobijanja dozvola, ikonica nestaje
Nije jasno da li zlonamjerni softver zloupotrebljava uslugu pristupačnosti Android-a da bi sebi dao dozvole ili vara korisnika da sam odobri zahtjev. Nakon dobijanja dozvola, špijunski softver uklanja svoju ikonu i radi u pozadini sa samo trajnim obavještenjem koje ukazuje na njegovo prisustvo.
Ovaj aspekt je prilično čudan za špijunski softver, koji obično treba da pokuša da ostane skriven od žrtve, posebno ako je ovo djelo sofisticirane grupe za napredne persistentne prijetnje (APT).
Informacije koje prikuplja uređaj, uključujući liste, evidencije, SMS, snimke i obavještenja o događajima, šalju se u JSON formatu komandnom i kontrolnom serveru na 82.146.35 [.] 240.
Način distribucije same aplikacije je nepoznat, ali ako je zaista Turli, obično koriste društveni inženjering, fišing i druge napade, tako da to može biti bilo koji način distribucije.
Ove dozvole predstavljaju ozbiljan rizik za privatnost, jer omogućavaju pomenutom malveru da preuzme lokaciju uređaja, pošalje i čita tekstove, pristup skladištu, fotografiše kamerom i snima zvuk.
Usputna zarada?
Istražujući aplikaciju, tim Lab52 je takođe otkrio da preuzima dodatna korisna opterećenja na uređaj i pronašao slučaj aplikacije preuzete direktno iz Plai prodavnice.
Aplikacija se zove „Roz Dhan: Zaradite novac u novčaniku“ i veoma je popularna, sa 10.000.000 preuzimanja i sadrži sistem preporuka za generisanje novca.
Špijunski softver navodno preuzima Android paket (APK) preko sistema upućivanja aplikacije, vjerovatno da bi zaradio proviziju, što je malo čudno s obzirom na to da je hakerska grupa fokusirana na sajber špijunažu. Ali takve taktike mogu pomoći da se prikriju tragovi i zbune analitičari.