Android smartfóny napáda nový ruský malvér, dokáže čítať SMS a sledovať polohu

ZDROJ | Pixabay

Turla je ruská hekerská skupina podporovaná štátom. „Preslávila“ sa infikovaním európskych a amerických systémov, jej malvér slúžil najmä na špionáž.

Doteraz neznámy malvér pre Android používa rovnakú infraštruktúru zdieľaného hosťovania, ktorú predtým používala ruská skupina APT známa ako Turla, je teda vysoko pravdepodobné, že stojí aj za týmto malvérom.

Škodlivý súbor identifikovali výskumníci z Lab52 s názvom Process Manager, ktorý funguje ako spyware pre Android a odovzdáva informácie útočníkom. Zatiaľ nie je jasné, ako je spyware distribuovaný. Po inštalácii sa Process Manager pokúša skryť pomocou ikony v tvare ozubeného kolieska, ktorá predstiera, že je súčasťou systému.

ZDROJ | Towfiqu barbhuiya

Pri prvom spustení aplikácia vyzve používateľa, aby jej umožnil používať nasledujúcich 18 (!) povolení. Chcete vedieť, k čomu všetkému budú mať vďaka malvéru vo vašom smartfóne prístup v Rusku?

Ide o tieto povolenia: prístup k hrubej polohe, prístup k presnej polohe, stav prístupovej siete, prístup k stavu Wi-Fi, fotoaparát, služba v popredí, internet, upravenie nastavenia zvuku, čítanie denníka hovorov, čítanie kontaktov, čítanie externého úložiska, zápis do externého úložiska, čítanie stavu telefónu, čítanie SMS, prijatie hovoru, nahrávanie zvuku, odoslanie SMS a denník budenia.

Ako vidíte, ide o vážne narušenie súkromia. Človek nemusí mať ani veľkú fantáziu pri predstavovaní toho, čo to môže spôsobiť, ak sa takto infikovaný smartfón nachádza na Ukrajine.

Pozrite siRuská hackerská skupina Nobelium ohrozuje poskytovateľov cloudových služieb

Nie je jasné, či malvér zneužíva službu dostupnosti systému Android na udeľovanie povolení, alebo či vyzve používateľa na schválenie žiadosti. Po získaní povolení spyware odstráni svoju ikonu. Ostane však bežať na pozadí s trvalým upozornením na jeho prítomnosť, čo je trochu zvláštne, pretože spyware sa zvyčajne snaží ostať ukrytý.

Informácie zhromaždené zariadením vrátane zoznamov, protokolov, SMS, nahrávok a upozornení na udalosti sa odosielajú vo formáte JSON na server príkazov a riadenia na 82.146.35[.]240, ktorý sa nachádza hádajte kde. V Rusku.

Zdrojlab52