Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!

Новое шпионское ПО для Android записывает аудио и отслеживает местоположение

05/04/22

Androspy-4Специалисты компании Lab52 смогли связать ранее неизвестное вредоносное ПО для Android-устройств с хакерской группировкой Turla. Исследователи обнаружили, что приложение использовало инфраструктуру, ранее уже связанную с Turla.

Эксперты выявили вредоносный APK Process Manager, играющий роль шпионского ПО для Android-устройств, которое отправляет данные с них хакерам.

Каким образом происходит заражение, пока неясно. Как правило, Turla распространяет свои вредоносные инструменты с помощью фишинговых атак, социальной инженерии, атак watering hole (заражение вредоносным ПО через взломанные сайты, посещаемые жертвой) и пр.

После установки Process Manager пытается скрыть свое присутствие на устройстве с помощью иконки в виде шестеренки, выдавая себя за системный компонент.

  • После первого запуска приложение получает 18 разрешений:
  • Доступ к данным о местоположении;
  • Доступ к статусу сети;
  • Доступ к статусу Wi-Fi;
  • Доступ к камере;
  • Доступ к интернету;
  • Разрешение на изменение настроек аудио;
  • Разрешение на чтение журналов звонков;
  • Разрешение на чтение списков контактов;
  • Разрешение на чтение данных во внешних хранилищах;
  • Разрешение на запись данных во внешние хранилища;
  • Разрешение на чтение статуса телефона;
  • Разрешение на чтение SMS-сообщений;
  • Разрешение на запись аудио;
  • Разрешение на отправку SMS-сообщений и пр.

Пока непонятно, использует ли вредонос сервис Android Accessibility, чтобы получить разрешения, или запрашивает их у пользователя.

Получив разрешения, шпионская программа удаляет свою иконку и запускается в фоновом режиме. Однако о ее присутствии свидетельствует постоянное уведомление, что нехарактерно для шпионского ПО, главной задачей которого является сокрытие своего присутствия на устройстве.

В ходе анализа вредоносного ПО команда Lab52 также обнаружила, что оно загружает дополнительные полезные нагрузки на устройство, и в одном случае приложение даже было загружено непосредственно из Play Store.

Приложение называется Roz Dhan: Earn Wallet cash (10 млн загрузок) и имеет реферальную систему генерирования денег.

Похоже, что вредонос загружает APK через реферальную систему приложения с целью получения комиссионных. Это очень странно, поскольку Turla специализируется на кибершпионаже.

Данный факт, а также сравнительно несложная реализация вредоноса наводят на мысль о том, что проанализированный исследователями C&C-сервер является частью инфраструктуры, которую используют несколько группировок.

Темы:AndroidУгрозыTurlaКиберугрозы
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Регистрируйтесь и участвуйте!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...