Lab52 cybersäkerhetsforskare har identifierat en ny skadlig programvara för Android som heter Process Manager, som kan spela in ljud från målenheten, samt läsa och skicka SMS.
Även om skadlig programvara verkar dela vissa likheter med Turla, den ökända ryska statligt sponsrade hotaktören, verkar det som om gruppen inte ligger bakom just denna variant, eller kampanjen.
Likheten mellan Process Manager och annan Turla malware är att de båda använder samma delade värdinfrastruktur.
gömd i klarsynt
När den väl har installerats, åtföljs den skadliga programvaran Process Manager av en kugghjulsikon, i ett försök att lura offer att tro att applikationen är en central del av Android. Efter det letar den efter mer än ett dussin behörigheter, inklusive åtkomst till kamera, enhetsplats, möjlighet att läsa och skicka textmeddelanden, läsa e-post, samtals- och kontaktloggar, etc., spela in ljud och läsa och skriva extern lagring.
Det är inte klart hur den får dessa behörigheter, om den försöker lura offret att bevilja dem eller missbruka Android Accessibility Service för att ge sig själv behörigheterna.
Det är här skillnaderna mellan denna hotfulla skådespelare och Turla börjar synas. Om skadlig programvara får behörigheterna tar den bort dess ikon och körs i bakgrunden. Däremot kan användaren veta att applikationen körs, tack vare det permanenta meddelandet som finns i rullgardinsmenyn.
Målet som hotaktören försöker uppnå med Process Manager passar inte heller Turla. Den ryska APT är i allmänhet engagerad i cyberspionage. Denna skadliga programvara installerar Dhan: Earn Wallet cash, en populär app för hänvisningssystem för pengar som är tillgänglig i Play Store. Ladda ner appen genom hänvisningssystemet för att tjäna provision för angripare.
Det är också oklart hur Process Manager distribueras, men det är troligen via identitetsstöld, social ingenjörskonst och nätfiske.
Via: BleepingComputer