Pripazite na ovaj malware: Otkrivena ruska špijunska aplikacija koja snima i vidi sve

Ranije nepoznati malver za Android povezan je sa ruskom hakerskom grupom Turla, nakon što je otkriveno da je aplikacija koristila infrastrukturu koja je ranije pripisana toj grupi.

Turla je ruska hakerska grupa koju podržava država poznata po tome što koristi prilagođeni malver za ciljanje evropskih i američkih sistema, prvenstveno za špijunažu.

Turla je nedavno bila povezana sa Sunburst backdoor malverom, korišćenim u napadu na lanac snabdevanja SolarWinds u decembru 2020.

Špijunski softver?

Stručnjaci iz Lab52, odeljenja za obaveštajne pretnje međunarodne kompanije za sajber bezbednost S2 Grupo, identifikovali su zlonamernu aplikaciju pod nazivom Process Manager koja deluje kao špijunski softver za Android i prenosi informacije hakerima.

Iako nije jasno kako se špijunski softver distribuira, nakon što je instaliran, Process Manager pokušava da ga sakrije na Android uređaju pomoću ikone zupčanika, pretvarajući se da je komponenta operativnog sistema.

Nakon prvog pokretanja, aplikacija traži od korisnika da mu dozvoli korišćenje sledećih 18 dozvola:

- Pristup gruboj lokaciji
- Pristup dobroj lokaciji
- Status mreže pristupa
- WiFi pristup
- Kamera
- Foreground
- Internet
- Promenite audio podešavanja
- Pročitajte evidenciju poziva
- Pročitajte kontakte
- Čitanje eksterne memorije
- Eksterna memorija
- Pročitajte status telefona
- Pročitajte SMS poruke
– Receive Boot Completed – signal koji se šalje aplikacijama tokom procesa pokretanja, što ukazuje da je sistem zaista ponovo pokrenut
- Snimanje zvuka
- Slanje SMS poruka
- Dnevnik buđenja

Nakon dobijanja dozvola, ikonica nestaje

Nije jasno da li zlonamerni softver zloupotrebljava uslugu pristupačnosti Android-a da bi sebi dao dozvole ili vara korisnika da sam odobri zahtev. Nakon dobijanja dozvola, špijunski softver uklanja svoju ikonu i radi u pozadini sa samo trajnim obaveštenjem koje ukazuje na njegovo prisustvo.

Ovaj aspekt je prilično čudan za špijunski softver, koji obično treba da pokuša da ostane skriven od žrtve, posebno ako je ovo delo sofisticirane grupe za napredne persistentne pretnje (APT).

Informacije koje prikuplja uređaj, uključujući liste, evidencije, SMS, snimke i obaveštenja o događajima, šalju se u JSON formatu komandnom i kontrolnom serveru na 82.146.35 [.] 240.

Način distribucije same aplikacije je nepoznat, ali ako je zaista Turli, obično koriste društveni inženjering, fišing i druge napade, tako da to može biti bilo koji način distribucije.

Ove dozvole predstavljaju ozbiljan rizik za privatnost, jer omogućavaju pomenutom malveru da preuzme lokaciju uređaja, pošalje i čita tekstove, pristup skladištu, fotografiše kamerom i snima zvuk.

Usputna zarada?

Istražujući aplikaciju, tim Lab52 je takođe otkrio da preuzima dodatna korisna opterećenja na uređaj i pronašao slučaj aplikacije preuzete direktno iz Plai prodavnice.

Aplikacija se zove „Roz Dhan: Zaradite novac u novčaniku“ i veoma je popularna, sa 10.000.000 preuzimanja i sadrži sistem preporuka za generisanje novca.

Špijunski softver navodno preuzima Android paket (APK) preko sistema upućivanja aplikacije, verovatno da bi zaradio proviziju, što je malo čudno s obzirom na to da je hakerska grupa fokusirana na sajber špijunažu. Ali takve taktike mogu pomoći da se prikriju tragovi i zbune analitičari.