Používate zastaralý prehliadač, stránka sa nemusí zobraziť správne, môže sa zobrazovať pomaly, alebo môžu nastať iné problémy pri prehliadaní stránky. Odporúčame Vám stiahnuť si nový prehliadač tu.

POZOR! Skontrolujte si váš telefón! Šíri sa ruský malvér, ktorý nahráva konverzácie a odosiela ich ďalej!

reklama:
ruský malvér
POZOR! Skontrolujte si váš telefón! Šíri sa ruský malvér, nahráva konverzácie a odosiela ich ďalej!Ilustračný obrázok: Frenky

Novo nájdený malvér Android zaznamenáva zvuk, sleduje vašu polohu

Predtým neznámy malvér pre Android používa rovnakú infraštruktúru zdieľaného hosťovania, ktorú predtým používala ruská skupina APT známa ako Turla, aj keď priradenie k hackerskej skupine nie je možné.

Turla je ruská štátom podporovaná hackerská skupina známa používaním vlastného malvéru na zacielenie na európske a americké systémy, predovšetkým na špionáž.

Aktéri hrozby boli nedávno spojení so zadnými vrátkami Sunburst, ktoré sa použili pri útoku na dodávateľský reťazec SolarWinds v decembri 2020.

Objavený nový spyware pre Android

Výskumníci z Lab52 identifikovali škodlivý súbor APK [VirusTotal] s názvom „Process Manager“, ktorý funguje ako spyware pre Android a odovzdáva informácie aktérom hrozby.

Aj keď nie je jasné, ako je spyware distribuovaný, po nainštalovaní sa Process Manager pokúša skryť na zariadení so systémom Android pomocou ikony v tvare ozubeného kolieska, ktorá predstiera, že je súčasťou systému.

Pri prvom spustení aplikácia vyzve používateľa, aby jej umožnil používať nasledujúcich 18 povolení:

  • Prístup k hrubej polohe
  • Prístup k presnej polohe
  • Stav prístupovej siete
  • Prístup k stavu WiFi
  • fotoaparát
  • Služba v popredí
  • internet
  • Upravte nastavenia zvuku
  • Prečítajte si denník hovorov
  • Prečítajte si kontakty
  • Čítať externé úložisko
  • Zápis do externého úložiska
  • Prečítajte si stav telefónu
  • Prečítajte si SMS
  • Spustenie prijímania bolo dokončené
  • Nahrajte zvuk
  • Pošlite SMS
  • Záznam prebudenia

Tieto povolenia predstavujú vážne riziko pre súkromie, pretože umožňujú aplikácii získať polohu zariadenia, odosielať a čítať texty, pristupovať k úložisku, fotografovať pomocou fotoaparátu a nahrávať zvuk.

Nie je jasné, či malvér zneužíva službu dostupnosti systému Android na udeľovanie povolení alebo či navádza používateľa na schválenie žiadosti.

Po získaní povolení spyware odstráni svoju ikonu a beží na pozadí iba s trvalým upozornením na jeho prítomnosť.

01.webp

Tento aspekt je dosť zvláštny pre spyware, ktorý by sa mal zvyčajne snažiť zostať skrytý pred obeťou, najmä ak ide o prácu sofistikovanej skupiny APT (pokročilá perzistentná hrozba).

Informácie zhromaždené zariadením vrátane zoznamov, protokolov, SMS, nahrávok a upozornení na udalosti sa odosielajú vo formáte JSON na server príkazov a riadenia na 82.146.35[.]240, ktorý sa nachádza v Rusku.

02.webp

Spôsob distribúcie pre APK je neznámy, ale ak je to Turla, bežne používajú sociálne inžinierstvo, phishing, útoky na zalievanie atď., takže to môže byť čokoľvek.

Podivný prípad zneužitia za účelom zisku

Pri skúmaní aplikácie tím Lab52 tiež zistil, že sťahuje do zariadenia ďalšie užitočné zaťaženia a našiel prípad aplikácie stiahnutej priamo z Obchodu Play.

Aplikácia sa volá „Roz Dhan: Zarábajte peniaze v peňaženke“ a je to populárna aplikácia (10 000 000 stiahnutí) so systémom odporúčaní generujúcim peniaze.

03.webp

Spyware údajne stiahne súbor APK prostredníctvom systému odporúčaní aplikácie, pričom pravdepodobne získa províziu, čo je trochu zvláštne vzhľadom na to, že konkrétny herec sa zameriava na kybernetickú špionáž.

To nás okrem zdanlivo nenáročnej implementácie spywaru Android vedie k presvedčeniu, že C2 analyzovaný Lab52 môže byť súčasťou zdieľanej infraštruktúry.

Štátni aktéri sú známi tým, že túto taktiku dodržiavajú, aj keď len zriedka, pretože im pomáha zakryť ich stopu a zmiasť analytikov.

Avšak vzhľadom na nízku sofistikovanosť schopností malvéru a použitia speňaženia založeného na sprostredkovaní sa výskumníci domnievajú, že nejde o prácu národného štátneho aktéra, akým je Turla.

„Takže v tejto správe sa chceme podeliť o našu analýzu schopností tohto škodlivého softvéru, hoci pripisovanie Turle sa nezdá možné vzhľadom na jej schopnosti hrozieb,“ vysvetľujú výskumníci z Lab52.
Udržujte malvér mimo

Používateľom zariadení s Androidom sa odporúča, aby si skontrolovali povolenia aplikácie, ktoré udelili, čo by malo byť pomerne jednoduché vo verziách od Androidu 10 a novších, a odvolali tie, ktoré sa zdajú byť príliš riskantné.

Od Androidu 12 OS tiež signalizuje, keď je kamera alebo mikrofón aktívny, takže ak sa zdajú byť osirelé, spyware sa skrýva vo vašom zariadení.

Tieto nástroje sú obzvlášť nebezpečné, keď sú vnorené do IoT so staršími verziami Androidu a generujú peniaze pre svojich vzdialených operátorov na dlhé obdobia bez toho, aby si niekto uvedomil kompromis.

ZDROJ: bleepingcomputer.com

reklama:
Bezplatný email raz týždenne s novinkami z DRAN.sk:
podmienkami používania a potvrdzujem, že som sa oboznámil s ochranou osobných údajov

Najčítanejšie za 24 hodín

66041617_10214129279537987_1873331762327715840_n.jpg
Autor Dátum 6. apríla 2022

K téme

Copyright © DG PRO s.r.o., SITA Slovenská tlačová agentúra a.s. Všetky práva vyhradené. Vyhradzujeme si právo udeľovať súhlas na rozmnožovanie, šírenie a na verejný prenos obsahu.