Исследователи кибербезопасности из Lab52 выявили новое вредоносное ПО для Android под названием Process Manager, способное записывать звук с целевого устройства, а также читать и отправлять SMS.
Хотя вредоносное ПО, похоже, имеет некоторое сходство с Turla, пресловутым российским государственным злоумышленником, похоже, что группировка не стоит за этим конкретным вариантом или кампанией.
Сходство между Process Manager и другими вредоносными программами Turla заключается в том, что они оба используют одну и ту же инфраструктуру общего хостинга.
Скрытый на виду
После установки вредоносное ПО Process Manager сопровождается значком в форме шестеренки, который пытается заставить жертв поверить в то, что это приложение является центральной частью Android. После этого найдите более десятка разрешений, включая доступ к камере, местоположение устройства, возможность читать и отправлять текстовые сообщения, читать электронную почту, журналы вызовов и контактов и т. д., записывать звук, а также читать и записывать внешнее хранилище.
Неясно, как он получает эти разрешения: пытается ли он обманом заставить жертву предоставить их, или он злоупотребляет службой доступности Android, чтобы предоставить себе разрешения.
Именно здесь начинают проявляться различия между этим грозным актером и Турлой. Если вредоносная программа получает разрешения, она удаляет свой значок и работает в фоновом режиме. Однако пользователь может знать, что приложение запущено, благодаря постоянному уведомлению, которое находится в раскрывающемся меню.
Цель, которую пытается достичь злоумышленник с помощью Process Manager, также не подходит для Turla. Российская АПТ обычно занимается кибершпионажем. Это вредоносное ПО устанавливает Dhan: Earn Wallet Cash, популярное приложение реферальной системы, генерирующее деньги, доступное в Play Store. Загрузите приложение через реферальную систему, чтобы заработать комиссию для злоумышленников.
Также неясно, как распространяется Process Manager, но, скорее всего, это происходит через кражу личных данных, социальную инженерию и фишинговые сайты.
Через: BleepingComputer