Odborníci v oblasti kybernetickej bezpečnosti identifikovali nový nebezpečný malvér. Ten dostal názov „Process Manager“, šíri sa na zariadeniach so systémom Android a dokáže sledovať polohu, nahrávať zvuky, čítať a odosielať SMS správy a mnoho ďalšieho. Na tému upozornil portál TechRadar.

Nebezpečný malvér

Za objavením tohto malvéru stoja experti zo skupiny Lab52. Tí na svojom blogu upozornili, že hoci sa táto hrozba zdá veľmi podobná hrozbám vytvoreným Ruskom dotovanou hackerskou skupinou Turla, táto skupina za jej vytvorením zrejme nakoniec nestojí.

Svedčí o tom najmä nízka sofistikovanosť hrozieb malvéru.

Podobnosť medzi .apk „Process Manager“ a inými malvérmi skupiny Turla je najmä vo využívaní rovnakej infraštruktúry zdieľaného hostingu. Hoci zatiaľ nie je jasné, ako sa malvér šíri, po jeho nainštalovaní sa v zariadení objaví ikona ozubeného kolieska. Tá sa snaží tváriť ako súčasť, alebo základná aplikácia systému Android.

Lab52

Po spustení aplikácie sa užívateľovi zobrazí varovanie o udelení “potrebných” povolení, k prístupu k približnej, ale i presnej polohe, stave prístupovej siete, k stavu WiFi, fotoaparátu, službám v popredí, internetu, úpravne nastavení zvukov, čítaniu denníka hovorov, kontaktom, čítaniu a zápisu do externého úložiska, k stavu telefónu, k čítaniu a posielaniu SMS, nahrávaniu zvukov, spusteniu aplikácie a keď je zariadenie zapnuté, aj zabráneniu uzamknutia.

Zatiaľ tiež nie je celkom jasné, ako .apk tieto povolenia získava. Zrejme sa však pokúša priamo oklamať svoju obeť, aby ich udelila, alebo na udelenie povolení zneužíva službu Android Accessibility. Práve tu sa začína objavovať rozdiel medzi týmto malvérom a hrozbami vytvorenými skupinou Turla, upozorňuje portál BleepingComputer,

Po odsúhlasení týchto hrozieb sa ikona okamžite odstráni z plochy, avšak aplikácia neustále beží a pracuje na pozadí. Podľa všetkého sa však stále zobrazuje na lište s notifikáciami, takže používateľ môže vidieť, že aplikácia je spustená.

Lab52

Práve táto nízka sofistikovanosť a fakt, že tento malvér nainštaluje aplikáciu Dhan: Earn Wallet cash, sľubujúcu zarábanie peňazí, ktorá sa nachádza aj v Obchode Play a poskytuje útočníkom provízie, odlišuje tento malvér od iných hrozieb skupiny Turla.

Cieľom tejto ruskej skupiny je totiž špionáž a nie generovanie príjmov.

Lab52

Isté však je, že zhromaždené informácie vo formáte JSON sa odosielajú na server nachádzajúci sa v Rusku. Čo sa so zhromaždenými  údajmi deje ďalej, zatiaľ známe nie je.