Perisian hasad Android yang berkaitan dengan Rusia merekodkan audio, menjejaki lokasi anda

Malware Android yang tidak diketahui sebelum ini telah dikaitkan dengan kumpulan penggodam Turla selepas menemui apl yang digunakan infrastruktur yang sebelum ini dikaitkan dengan pelakon ancaman.

Turla ialah kumpulan penggodaman yang disokong negara Rusia yang terkenal dengan penggunaannya perisian hasad tersuai untuk menyasarkan Eropah dan sistem Amerika, terutamanya untuk pengintipan.

Pelakon ancaman baru-baru ini telah dikaitkan dengan Sunburst pintu belakang digunakan dalam Serangan rantaian bekalan SolarWinds pada Disember 2020.

Perisian pengintip Android Turla?

Penyelidik daripada Lab52 mengenal pasti APK berniat jahat [VirusTotal] dinamakan “Pengurus Proses” yang bertindak sebagai perisian pengintip Android, memuat naik maklumat kepada pelaku ancaman.

Walaupun tidak jelas cara perisian pengintip itu diedarkan, setelah dipasang, Pengurus Proses cuba bersembunyi pada peranti Android menggunakan ikon berbentuk gear, berpura-pura menjadi komponen sistem.

Selepas pelancarannya yang pertama, apl menggesa pengguna membenarkannya menggunakan 18 kebenaran berikut:

  • Akses lokasi kasar
  • Akses lokasi yang baik
  • Akses keadaan rangkaian
  • Akses keadaan WiFi
  • Kamera
  • Perkhidmatan latar depan
  • Internet
  • Ubah suai tetapan audio
  • Baca log panggilan
  • Baca kenalan
  • Baca storan luaran
  • Tulis storan luaran
  • Baca keadaan telefon
  • Baca SMS
  • Terima but selesai
  • Rakam audio
  • Hantar SMS
  • Log bangun

Kebenaran ini merupakan risiko serius terhadap privasi kerana ia membenarkan apl mendapatkan lokasi peranti, menghantar dan membaca teks, mengakses storan, mengambil gambar dengan kamera dan merakam audio.

Tidak jelas sama ada perisian hasad menyalahgunakan perkhidmatan Kebolehcapaian Android untuk memberikan kebenaran kepada dirinya sendiri atau jika ia memperdaya pengguna untuk meluluskan permintaan.

Selepas menerima kebenaran, perisian pengintip mengalih keluar ikonnya dan berjalan di latar belakang dengan hanya pemberitahuan kekal yang menunjukkan kehadirannya.

Pemberitahuan kekal yang menyamar sebagai perkhidmatan sistem
Pemberitahuan kekal yang menyamar sebagai perkhidmatan sistem
(Makmal52)

Aspek ini agak pelik untuk perisian pengintip yang biasanya berusaha untuk kekal tersembunyi daripada mangsa, terutamanya jika ini adalah kerja kumpulan APT (ancaman berterusan lanjutan) yang canggih.

Maklumat yang dikumpul oleh peranti, termasuk senarai, log, SMS, rakaman dan pemberitahuan acara, dihantar dalam format JSON ke pelayan arahan dan kawalan di 82.146.35[.]240.

Menghantar data yang dicuri ke C2
Mewujudkan sambungan C2 untuk menghantar data yang dicuri (Makmal52)

Kaedah pengedaran untuk APK tidak diketahui, tetapi jika ia adalah Turla, mereka biasanya menggunakan kejuruteraan sosial, pancingan data, serangan lubang air, dsb., jadi ia boleh jadi apa sahaja.

Kes pelik penyalahgunaan untuk keuntungan

Semasa menyelidik aplikasi, Pasukan Lab52 juga ditemui bahawa ia memuat turun muatan tambahan ke peranti dan menemui kes apl yang diambil terus daripada Gedung Play.

Apl itu dinamakan “Roz Dhan: Earn Wallet cash,” dan ia merupakan apl popular (10,000,000 muat turun) yang menampilkan sistem rujukan yang menjana wang.

Aplikasi yang disalahgunakan di Gedung Play
Aplikasi yang disalahgunakan di Gedung Play

Perisian pengintip dilaporkan memuat turun APK melalui sistem rujukan apl, berkemungkinan memperoleh komisen, yang agak pelik memandangkan pelakon tertentu memberi tumpuan kepada pengintipan siber.

Ini, sebagai tambahan kepada pelaksanaan perisian pengintip Android yang kelihatan tidak canggih, membawa kami untuk mempercayai bahawa C2 yang dianalisis oleh Lab52 mungkin sebahagian daripada infrastruktur yang dikongsi.

Pelakon negeri terkenal kerana mengikuti taktik ini, walaupun jarang, kerana ia membantu mereka mengaburkan jejak mereka dan mengelirukan penganalisis.

Jauhkan perisian hasad

Pengguna peranti Android dinasihatkan untuk menyemak kebenaran apl yang telah mereka berikan, yang sepatutnya agak mudah pada versi daripada Android 10 dan lebih baharu, dan membatalkan kebenaran yang kelihatan terlalu berisiko.

Selain itu, bermula dari Android 12, OS menolak petunjuk apabila kamera atau mikrofon aktif, jadi jika ini kelihatan yatim piatu, perisian pengintip bersembunyi dalam peranti anda.

Alat ini amat berbahaya apabila bersarang di dalam IoT yang menjalankan versi Android yang lebih lama, menjana wang untuk pengendali jauh mereka untuk tempoh yang berpanjangan tanpa sesiapa menyedari kompromi itu.

We want to give thanks to the author of this post for this outstanding web content

Perisian hasad Android yang berkaitan dengan Rusia merekodkan audio, menjejaki lokasi anda


We have our social media profiles here as well as other related pages herehttps://paw6.info/related-pages/