Ranije nepoznati malware za Android povezan je sa ruskom hakerskom grupom Turla, nakon što je otkriveno da je aplikacija koristila infrastrukturu koja je ranije pripisana toj grupi, prenosi B92.
Turla je ruska hakerska grupa koju podržava država poznata po tome što koristi prilagođeni malware za ciljanje evropskih i američkih sistema, prvenstveno za špijunažu.
Turla je nedavno bila povezana sa Sunburst backdoor malwareom, korištenim u napadu na lanac snabdijevanja SolarWinds u decembru 2020.
Zlonamjerna aplikacija
Stručnjaci iz Lab52, odjeljenja za obavještajne prijetnje međunarodne kompanije za cyber bezbjednost S2 Grupo, identifikovali su zlonamjernu aplikaciju pod nazivom Process Manager koja djeluje kao špijunski softver za Android i prenosi informacije hakerima.
Iako nije jasno kako se špijunski softver distribuira, nakon što je instaliran, Process Manager pokušava da ga sakrije na Android uređaju pomoću ikone zupčanika, pretvarajući se da je komponenta operativnog sistema.
Nakon prvog pokretanja, aplikacija traži od korisnika da mu dozvoli korištenje 18 dozvola. Nije jasno da li zlonamjerni softver zloupotrebljava uslugu pristupačnosti Androida da bi sebi dao dozvole ili vara korisnika da sam odobri zahtjev.
Nakon dobijanja dozvola, špijunski softver uklanja svoju ikonu i radi u pozadini sa samo trajnim obavještenjem koje ukazuje na njegovo prisustvo.
Ovaj aspekt je prilično čudan za špijunski softver, koji obično treba da pokuša da ostane skriven od žrtve, posebno ako je ovo djelo sofisticirane grupe za napredne perzistentne prijetnje (APT).
Prikuplja informacije
Informacije koje prikuplja uređaj, uključujući liste, evidencije, SMS, snimke i obavještenja o događajima, šalju se u JSON formatu komandnom i kontrolnom serveru na 82.146.35 [.] 240.
Način distribucije same aplikacije je nepoznat, ali ako je zaista Turli, obično koriste društveni inženjering, fišing i druge napade, tako da to može biti bilo koji način distribucije.
Ove dozvole predstavljaju ozbiljan rizik za privatnost, jer omogućavaju pomenutom malveru da preuzme lokaciju uređaja, pošalje i čita tekstove, pristup skladištu, fotografiše kamerom i snima zvuk.
Špijunski softver navodno preuzima Android paket (APK) preko sistema upućivanja aplikacije, vjerovatno da bi zaradio proviziju, što je malo čudno s obzirom na to da je hakerska grupa fokusirana na cyber špijunažu. Ali takve taktike mogu pomoći da se prikriju tragovi i zbune analitičari.
