MojAndroid

Na Android platforme sa objavil nový malvér, ktorý používa rovnaké metódy ako ruská skupina APT, ktorá je známa aj ako Turla. Informáciu priniesol portál BleepingComputer.

Malvér si vyžiada až 18 povolení

Turla je ruská štátom podporovaná hackerská skupina známa používaním vlastného malvéru, ktorým cieli na európske a americké systémy, predovšetkým na špionáž. Jej škodlivý softvér boli použité napríklad pri útoku na dodávateľský reťazec SolarWinds v decembri 2020.

Výskumníci spoločnosti Lab52 identifikovali na Android platforme veľmi podobný škodlivý APK súbor [VirusTotal] s názvom „Process Manager“, ktorý funguje ako spyware. Spôsob jeho distribúcie nie je známy, ale po nainštalovaní sa Process Manager pokúša skryť pomocou ikony v tvare ozubeného kolieska, čím predstiera, že je súčasťou systému.

Malvér Process Manager | Zdroj: bleepingcomputer.com

 

Pri prvom spustení vyzve požiada o sprístupnenie 18 povolení, ktoré predstavujú vážne riziko pre súkromie používateľa. Umožňujú získať polohu zariadenia, odosielať a čítať SMS, pristupovať k úložisku, fotiť fotoaparátom alebo nahrávať zvuk.  Nie je jasné, či malvér zneužíva službu Android Accessibility na udeľovanie povolení alebo či navádza používateľa na schválenie žiadosti.

Po získaní oprávnení malvér odstráni svoju ikonu a beží na pozadí iba s trvalým upozornením na jeho prítomnosť. Informácie zhromaždené zariadením vrátane zoznamov, protokolov, SMS, nahrávok a upozornení na udalosti sa následne odosielajú vo formáte JSON na riadiaci server, ktorý sa nachádza v Rusku.

Malvér stiahne do zariadenia aj ďalšiu aplikáciu z Google Play

Tím spoločnosti Lab52 tiež zistil, že do zariadenia spyware sťahuje ďalšiu aplikáciu priamo z Obchodu Play. Aplikácia sa volá Roz Dhan: Earn Wallet cash a v obchode má až 10 miliónov stiahnutí. Spyware zo stiahnutej aplikácie dokonca získava províziu, čo je trochu zvláštne vzhľadom na to, že sa zameriava na kybernetickú špionáž.

Aplikáciu, ktorú malvér stiahne z obchodu Google Play | Zdroj: bleepingcomputer.com

Používateľom zariadení s Androidom tím Lab 52 odporúča, aby si skontrolovali povolenia, ktoré boli udelené nainštalovaným aplikáciám. Vo verzii systému Android 10 a vyššom by to malo byť pomerne jednoduché. Od Androidu 12 je tiež v pravom hornom rohu displeja k dispozícii grafické upozornenie na to, že je kamera alebo mikrofón aktívny pri spustení aplikácie.

Náš tip
Pozor na e-maily od overených zdrojov, môžu byť nebezpečné. Hackli nástroj na rozosielanie newsletterov
6.4.2022

Pravidlá diskusie

Portál MojAndroid.sk si vyhradzuje právo zmazať neslušné, rasistické a vulgárne príspevky, ako aj osobné útoky na redakciu, či diskutérov v komentároch pod článkom bez ďalšieho upozornenia. V prípade uverejňovania odkazov na externé stránky, je komentár automaticky preposlaný do redakcie na schválenie.

+