Android-malware gekoppeld aan Russische aanvallers ontdekt, kan audio opnemen en uw locatie volgen


Een team van beveiligingsonderzoekers heeft een nieuwe Android-malware gedetecteerd en gedetailleerd die audio opneemt en de locatie volgt zodra deze in het apparaat is geplant. De malware maakt gebruik van dezelfde shared-hosting-infrastructuur die eerder werd gebruikt door een team van Russische hackers dat bekend staat als Turla. Het is echter onduidelijk of de door de Russische staat gesteunde groep een directe relatie heeft met de nieuw ontdekte malware. Het bereikt via een kwaadaardig APK-bestand dat werkt als een Android-spyware en acties op de achtergrond uitvoert, zonder duidelijke verwijzingen naar gebruikers.

Onderzoekers van het inlichtingenbureau Lab52 hebben geïdentificeerd de Android-malware dat heet Procesmanager. Eenmaal geïnstalleerd, verscheen het in de app-lade van het apparaat als een tandwielvormig pictogram – vermomd als een vooraf geladen systeemservice.

De onderzoekers ontdekten dat de app in totaal 18 toestemming vraagt ​​wanneer deze voor de eerste keer op het apparaat wordt gebruikt. Deze machtigingen omvatten toegang tot de telefoonlocatie, wifi-informatie, foto’s en video’s maken van de ingebouwde camerasensoren en een spraakrecorder om audio op te nemen.

Het is niet duidelijk of de app toestemming krijgt door misbruik te maken van de Android Accessibility-service of door gebruikers te misleiden om hun toegang te verlenen.

Nadat de kwaadaardige app voor de eerste keer is gestart, wordt het pictogram echter uit de app-lade verwijderd. De app werkt echter nog steeds op de achtergrond, met zijn actieve status beschikbaar in de meldingsbalk.

De onderzoekers merkten dat de app het apparaat configureert op basis van de toestemmingen die het krijgt om een ​​takenlijst uit te voeren. Deze omvatten de details over de telefoon waarop deze is geïnstalleerd, evenals de mogelijkheid om audio op te nemen en informatie te verzamelen, waaronder wifi-instellingen en contacten.

Met name bij het audio-opnamegedeelte ontdekten de onderzoekers dat de app audio van het apparaat opneemt en deze in mp3-formaat extraheert in de cachemap.

De malware verzamelt alle gegevens en stuurt deze in JSON-formaat naar een server die zich in Rusland bevindt.

Hoewel de exacte bron van waaruit de malware de apparaten bereikt onbekend is, ontdekten de onderzoekers dat de makers het verwijzingssysteem van een app genaamd Roz Dhan: Earn Wallet Cash hebben misbruikt. beschikbaar om te downloaden Aan Google Play en heeft meer dan 10 miljoen downloads. De malware zou de legitieme app downloaden die aanvallers uiteindelijk helpt om deze op het apparaat te installeren en winst maakt met het verwijzingssysteem.

Het lijkt relatief ongebruikelijk voor spyware, aangezien de aanvallers zich lijken te concentreren op cyberspionage. Als piepende computer notitiessuggereert het vreemde gedrag van het downloaden van een app om commissies te verdienen met het verwijzingssysteem dat malware een onderdeel kan zijn van een groter systeem dat nog moet worden ontdekt.

Dat gezegd hebbende, Android gebruikers wordt aangeraden om geen onbekende of verdachte apps op hun apparaten te installeren. Gebruikers moeten ook de app-machtigingen bekijken die ze verlenen om de toegang van derden tot hun hardware te beperken.


Leave a Reply

Your email address will not be published. Required fields are marked *