Prethodno nepoznati zlonamjerni softver za Android povezan je s ruskom hakerskom grupom Turla, nakon što je otkriveno da je aplikacija koristila infrastrukturu koja je prethodno pripisana toj grupi.
Turla je ruska hakerska grupa koju podržava država i koja je poznata po korištenju prilagođenog zlonamjernog softvera za ciljanje europskih i američkih sustava, prvenstveno radi špijunaže.
Turla je nedavno povezana s Sunburst backdoor zlonamjernim softverom, korištenim u napadu na lanac opskrbe SolarWindsa u prosincu 2020. godine.
Špijunski softver?
Stručnjaci iz Lab52, odjela za obavještajne prijetnje tvrtke za međunarodnu kibernetičku sigurnost S2 Grupo, identificirali su zlonamjernu aplikaciju pod nazivom Process Manager koji djeluje kao špijunski softver za Android i prenosi informacije hakerima.
Iako nije jasno kako se špijunski softver distribuira, nakon što je instaliran, Process Manager pokušava se sakriti na Android uređaju pomoću ikone u obliku zupčanika, pretvarajući se da je komponenta operativnog sustava.
Nakon prvog pokretanja, aplikacija traži od korisnika da mu dopusti korištenje sljedećih 18 dopuštenja:
- Pristup gruboj lokaciji
- Pristup finoj lokaciji
- Stanje pristupne mreže
- Pristup WiFi stanju
- Fotoaparat
- Foreground usluga
- Internet
- Izmjena audio postavki
- Čitanje zapisnika poziva
- Čitanje kontakata
- Čitanje vanjske memorije
- Pohrana vanjske memorije
- Čitanje stanja telefona
- Čitanje SMS poruka
- Receive Boot Completed - signal koji se šalje aplikacijama tijekom procesa podizanja operativnog sustava, što pokazuje da je sustav zapravo ponovno pokrenut
- Snimanje zuka
- Slanje SMS poruka
- Dnevnik buđenja
Ova dopuštenja predstavljaju ozbiljan rizik za privatnost, jer omogućuju spomenutom zlonamjernom softveru dobivanje lokacije uređaja, slanje i čitanje tekstova, pristup pohrani, snimanje fotografija kamerom i snimanje zvuka.
Nakon dobivanja dopuštenja, ikona nestaje
Nije jasno zloupotrebljava li zlonamjerni softver uslugu pristupačnosti Androida kako bi sebi dao dopuštenja ili vara korisnika da sam odobri zahtjev. Nakon što dobije dopuštenja, špijunski softver uklanja svoju ikonu i radi u pozadini uz samo trajnu obavijest koja ukazuje na njegovu prisutnost.
Ovaj aspekt je prilično čudan za špijunski softver koji obično treba nastojati ostati skriven od žrtve, pogotovo ako je ovo djelo sofisticirane napredne trajne prijetnje (APT) grupe.
Informacije koje prikuplja uređaj, uključujući popise, zapisnike, SMS, snimke i obavijesti o događajima, šalju se u JSON formatu na server za naredbe i kontrolu na adresi 82.146.35[.]240.
Način distribucije same aplikacije je nepoznat, ali ako je doista riječ o Turli, oni obično koriste društveni inženjering, phishing i druge napade, tako da može biti riječ o bilo kojem načinu distribucije.
Usputna zarada?
Istražujući aplikaciju, tim Lab52 također je otkrio da preuzima dodatna korisna opterećenja na uređaj te su pronašli slučaj aplikacije preuzete izravno iz Play Storea.
Aplikacija se zove "Roz Dhan: Earn Wallet cash" i vrlo je popularna, s 10.000.000 preuzimanja, te sadrži sustav preporuka za generiranje novca.
Špijunski softver navodno preuzima Android paket (APK) putem referalnog sustava aplikacije, vjerojatno da bi zaradio proviziju, što je pomalo čudno, s obzirom na to da je navedena hakerska skupina usredotočena na kibernetičku špijunažu. No, takva taktika možda pomaže u prikrivanju njihovih tragova i zbunjivanju analitičara.
Kako držati zlonamjerni softver podalje?
Korisnicima Android uređaja savjetuje se da pregledaju dopuštenja za aplikacije koje su dali, što bi trebalo biti prilično jednostavno na verzijama od Androida 10 i novijih, te da uklone ona koja se čine previše rizična.
Također, počevši od Androida 12, operativni gura upozorenja kada su kamera ili mikrofon aktivni, pa ako se čini da ta upozorenja izostaju, onda se špijunski softver možda skriva u vašem uređaju.
Ovi alati su posebno opasni kada se ugnijezde unutar IoT-ova koji pokreću starije verzije Androida, stvarajući novac za svoje udaljene operatere tijekom duljeg razdoblja, a da nitko ni ne shvaća da je kompromitiran.
Izvor: Bleeping Computer