Nově objevený malware pro Android používá stejnou infrastrukturu sdíleného hostování jako Turla, ruská státem podporovaná hackerská skupina známá svým vlastním malwarem, který používá k špionáži evropských a amerických systémů.
I když nelze nový malware přesně přiřadit k této hackerské skupině, je to podezřelé, že používají stejnou infrastrukturu jako Turla.
Aktéři hrozby byli nedávno spojeni se zadními vrátky Sunburst, která byla použita při útoku na dodavatelský řetězec SolarWinds v prosinci 2020.
Objeven nový spyware pro Android
Výzkumníci z Lab52 zjistili, že existuje škodlivý soubor APK s názvem „Process Manager“, který funguje jako spyware pro Android a shromažďuje informace, které jsou následně posílány neznámým aktérům. Způsob, jakým se spyware šíří, není známý, ale po instalaci se snaží skrýt na zařízení pomocí falešné ikony ozubeného kolečka, která se tváří jako součást systému.
Při prvním použití aplikace se uživatelovi zobrazí žádost o udělení následujících 18 povolení:
- Přístup k hrubé poloze
- Přístup k přesné poloze
- Stav přístupové sítě
- Přístup ke stavu WiFi
- Použití fotoaparátu
- Použití služby v popředí
- Připojení k internetu
- Úprava nastavení zvuku
- Přečtení záznamu hovorů
- Přístup k kontaktům
- Čtení externího úložiště
- Zápis do externího úložiště
- Přečtení stavu telefonu
- Přečtení SMS zpráv
- Přijmutí dokončeného hovoru
- Nahrání zvuku
- Odeslání SMS zprávy
- Záznam probuzení zařízení.
Je nejisté, zda malware využívá službu přístupnosti v systému Android pro získání povolení nebo zda snaží uživatele přesvědčit k udělení povolení. Nicméně, tyto povolení představují vážné ohrožení soukromí uživatele, protože umožňují aplikaci přístup k citlivým informacím, jako je poloha zařízení, textové zprávy a soubory na úložišti.
článek pokračuje na další stránce..