I ricercatori di sicurezza informatica del Lab52 hanno identificato un nuovo malware Android chiamato Process Manager, in grado di registrare l'audio dal dispositivo preso di mira, nonché di leggere e inviare SMS.
Anche se il malware sembra condividere alcune somiglianze con Turla, il noto attore di minacce sponsorizzato dallo stato russo, sembra che dietro questa particolare variante o campagna non ci sia il gruppo.
La somiglianza tra Process Manager e altri malware Turla è che entrambi utilizzano la stessa infrastruttura di hosting condivisa.
Nascosto in bella vista
Una volta installato, il malware Process Manager è accompagnato da un'icona a forma di ingranaggio e tenta di indurre le vittime a credere che l'applicazione sia una parte centrale di Android. Successivamente, cerca più di una dozzina di autorizzazioni, incluso l'accesso alla fotocamera, la posizione del dispositivo, la possibilità di leggere e inviare messaggi di testo, leggere e-mail, registri delle chiamate e dei contatti, ecc., registrare audio e leggere e scrivere su memoria esterna.
Non è chiaro come ottenga queste autorizzazioni, se stia cercando di ingannare la vittima per concederle o se stia abusando del servizio di accessibilità Android per concedersi le autorizzazioni.
È qui che iniziano a emergere le differenze tra questo attore minaccioso e Turla. Se il malware ottiene le autorizzazioni, rimuove la propria icona e viene eseguito in background. Tuttavia, l'utente può sapere che l'applicazione è in esecuzione, grazie alla notifica permanente presente nel menu a discesa.
Anche l’obiettivo che l’autore della minaccia cerca di raggiungere con Process Manager non è adatto a Turla. L’APT russa si dedica generalmente allo spionaggio informatico. Questo malware installa Dhan: Earn Wallet cash, una popolare app per sistemi di referral per la generazione di denaro disponibile sul Play Store. Scarica l'app tramite il sistema di riferimento per guadagnare commissioni per gli aggressori.
Inoltre, non è chiaro come venga distribuito Process Manager, ma molto probabilmente avviene tramite furto di identità, ingegneria sociale e siti di phishing.
Via: BleepingComputer