Android Malware Linked to Russian Attackers Discovered, Can Record Audio and Track Your Location

Обнаружено вредоносное ПО для Android, связанное с российскими злоумышленниками, способное записывать аудио и отслеживать ваше местоположение

Новая вредоносная программа для Android была обнаружена и подробно описана группой исследователей в области безопасности, которая записывает звук и отслеживает местоположение после установки в устройство. Вредоносное ПО использует ту же инфраструктуру общего хостинга, которая ранее использовалась командой российских хакеров, известной как Turla. Однако неясно, имеет ли российская государственная поддержка прямое отношение к недавно обнаруженному вредоносному ПО. Он проникает через вредоносный APK-файл, который работает как шпионское ПО для Android и выполняет действия в фоновом режиме, не давая никаких четких ссылок на пользователей.

Исследователи компании Lab52, специализирующейся на анализе угроз, идентифицированный вредоносное ПО для Android под названием Process Manager. После установки оно появилось на панели приложений устройства в виде значка в виде шестеренки, замаскированного под предварительно загруженную системную службу.

Исследователи обнаружили, что приложение запрашивает в общей сложности 18 разрешений при первом запуске на устройстве. Эти разрешения включают в себя доступ к местоположению телефона, информации о Wi-Fi, съемку фотографий и видео со встроенных датчиков камеры и диктофон для записи звука.

Неясно, получает ли приложение разрешения, злоупотребляя службой специальных возможностей Android или обманывая пользователей, чтобы они предоставили им доступ.

Однако после первого запуска вредоносного приложения его значок удаляется из панели приложений. Однако приложение по-прежнему работает в фоновом режиме, а его активное состояние отображается на панели уведомлений.

Исследователи заметили, что приложение настраивает устройство на основе полученных разрешений, чтобы начать выполнение списка задач. К ним относятся сведения о телефоне, на котором он был установлен, а также возможность записывать звук и собирать информацию, включая настройки Wi-Fi и контакты.

В частности, в части аудиозаписи исследователи обнаружили, что приложение записывает звук с устройства и извлекает его в формате MP3 в каталог кеша.

Вредонос собирает все данные и отправляет их в формате JSON на сервер, который находится в России.

Хотя точный источник, из которого вредоносное ПО попадает на устройства, неизвестен, исследователи обнаружили, что его создатели злоупотребили реферальной системой приложения под названием Roz Dhan: Earn Wallet Cash, которое доступно для скачивания в Google Play и имеет более 10 миллионов загрузок. Говорят, что вредоносное ПО загружает законное приложение, которое в конечном итоге помогает злоумышленникам установить его на устройство и извлекает прибыль из своей реферальной системы.

Это кажется относительно необычным для шпионского ПО, поскольку злоумышленники, похоже, сосредоточены на кибершпионаже. Как пищащий компьютер Примечаниястранное поведение загрузки приложения для получения комиссий от его реферальной системы предполагает, что вредоносное ПО может быть частью более крупной системы, которую еще предстоит обнаружить.

При этом пользователям Android рекомендуется избегать установки неизвестных или подозрительных приложений на свои устройства. Пользователи также должны проверить разрешения приложений, которые они предоставляют, чтобы ограничить доступ третьих лиц к их оборудованию.