Вредоносная программа для Android записывает аудио и отслеживает ваше местоположение
Создание шпионской программы, неизвестной ранее, специалисты приписывают хакерской группе Turla.
Банда хакеров Turla, которую специалисты по безопасности связывают с Россией, для внедрения вредоносного кода на телефон использовало инфраструктуру, которой пользовалась в своих предыдущих атаках.
Turla известная тем, что использует вредоносные программы собственного производства для атак на европейские и американские системы, в основном с целью шпионажа.
Исследователи связывают хакеров этой группировки с внедрением бэкдора Sunburst, использованным в атаке на SolarWinds в декабре 2020 года.
Шпионское ПО Turla для Android?
Исследователи из Lab52 обнаружили вредоносный APK [VirusTotal] под названием "Process Manager", который действует как шпионское ПО для Android, загружая информацию субъектам угроз.
Хотя неясно, как распространяется шпионское ПО, после установки Process Manager пытается скрыться на Android-устройстве с помощью иконки в виде шестеренки, выдавая себя за системный компонент.
При первом запуске приложение просит пользователя разрешить ему использовать следующие 18 разрешений:
- Доступ к местоположению
- Доступ к точному местоположению
- Доступ к состоянию сети
- Доступ к состоянию WiFi
- Доступ к камере
- Фоновая служба
- Интернет
- Изменение настроек звука
- Чтение журнала вызовов
- Чтение контактов
- Чтение внешнего хранилища
- Запись во внешнее хранилище
- Чтение состояния телефона
- Чтение SMS
- Получение данных о загрузке
- Запись звука
- Отправка SMS
- Журнал событий
Эти разрешения представляют серьезный риск для конфиденциальности, поскольку позволяют приложению узнавать местоположение устройства, отправлять и читать sms, получать доступ к хранилищу, делать снимки камерой и записывать звук.
Неясно, злоупотребляет ли вредоносная программа службой Android Accessibility для предоставления себе разрешений, или же она обманом заставляет пользователя одобрить запрос.
После получения разрешений программа-шпион удаляет свой значок и работает в фоновом режиме, лишь постоянное уведомление указывает на ее присутствие.
Этот аспект довольно странен для шпионских программ, которые обычно стремятся оставаться скрытыми от жертвы, особенно если это работа продвинутой хакерской группы APT (advanced persistent threat).
Собранная устройством информация, включая списки, журналы, SMS, записи и уведомления о событиях, отправляется в формате JSON на командно-контрольный сервер по адресу 82.146.35[.]240.
Метод распространения APK неизвестен, но если это Turla, то они обычно используют социальную инженерию, фишинг и т.д., так что способ внедрения может быть каким угодно угодно.
Странный случай злоупотребления ради прибыли
Исследуя это 'spyware', команда Lab52 обнаружила, что на устройство шпионское ПО может быть внедрено в составе другого .apk , и нашла случай, когда приложение было получено непосредственно из Play Store.
Приложение называется "Roz Dhan: Earn Wallet cash", и это популярное (10 000 000 загрузок) приложение с реферальной системой, приносящей деньги.
Как сообщается, шпионская программа загружает APK через реферальную систему приложения, вероятно, чтобы получить комиссионные, что несколько странно, учитывая, что данный агент занимается кибершпионажем. Хотя, почему бы и нет?
В дополнение к кажущейся безыскусной реализации шпионского ПО для Android, можно предположить, что C2, проанализированный Lab52, может быть частью общей инфраструктуры. Которая пока не "видна на поверхности", и так велика, что исследователям сложно охватить весь масштаб атаки.
Крупные хакерские группировки известны тем, что придерживаются такой тактики, пусть и редко, поскольку это помогает им скрыть следы и запутать аналитиков.
Не допускайте проникновения вредоносного ПО
Пользователям устройств на базе Android рекомендуется пересмотреть разрешения, которые они предоставили приложениям, что довольно легко сделать на версиях Android 10 и более поздних, и отозвать те из них, которые кажутся слишком рискованными.
Кроме того, начиная с Android 12, ОС выводит индикацию, когда камера или микрофон активны, и если при этом вы не запускали приложений связанных с этим оборудованием, в вашем устройстве скрывается шпионское ПО.
Шпионское ПО особенно опасно, когда оно вложено в IoT, работающее на старых версиях Android. Это позволяет хакерам получать данные в течение длительного времени, не давая никому понять, что они скомпрометированы.
