Исследователи из Lab52 обнаружили вредоносную программу для Android под названием "Process Manager", связанную с известной российской хакерской группой Turla. По данным Virus Total, 30 агентов безопасности отметили этот файл как вредоносный.
Вредоносная программа выглядит как безобидный APK, но после установки показывает себя во всей красе: она начинает собирать конфиденциальную информацию и отправлять ее обратно злоумышленникам.
Российская хакерская группа использует вредоносный APK для кражи личной информации
После загрузки приложение запрашивает 18 разрешений, включая доступ к функциям обмена сообщениями, определения местоположения и записи звука. Исследователи не знают, как вредоносная программа позволяет себе это, но вредоносный код часто делает это, используя службу Android Accessibility.
Когда вредоносный APK получает то, что ему нужно, он делает еще один хитрый ход, удаляет свой значок и работает в фоновом режиме, лишь постоянное уведомление указывает на его присутствие.
Информация, собранная устройством, включая списки, журналы, SMS, записи и уведомления о событиях, отправляется в формате JSON на командно-контрольный сервер по адресу 82.146.35[.]240.
По словам Lab52, в итоге вредоносный APK сделал соединение goo.gle короче, и они заметили, что он пытался загрузить приложение под названием Rozdhan. Это приложение находится в Google Play и используется для заработка денег; оно имеет реферальную систему, которой злоупотребляют вредоносные программы. Злоумышленник устанавливает его на устройство и получает прибыль.
Кроме того, злоумышленники могут использовать украденную информацию и для других целей. Пользователям устройств на базе Android рекомендуется проверять выданные разрешения на приложения, что должно быть довольно просто на версиях от Android 10 и выше, и отказываться от тех, которые кажутся слишком рискованными.
