Cybersicherheitsforscher von Lab52 haben eine neue Android-Malware namens Process Manager identifiziert, die in der Lage ist, Audio vom Zielgerät aufzuzeichnen sowie SMS zu lesen und zu senden.
Obwohl die Malware einige Ähnlichkeiten mit Turla zu haben scheint, dem berüchtigten staatlich geförderten Bedrohungsakteur Russlands, scheint die Gruppe nicht hinter dieser speziellen Variante oder der Kampagne zu stehen.
Die Ähnlichkeit zwischen Process Manager und anderer Turla-Malware besteht darin, dass beide dieselbe gemeinsame Hosting-Infrastruktur verwenden.
in aller Deutlichkeit verborgen
Nach der Installation wird die Process Manager-Malware von einem zahnradförmigen Symbol begleitet, um den Opfern vorzugaukeln, dass die Anwendung ein Kernbestandteil von Android ist. Danach sucht es nach mehr als einem Dutzend Berechtigungen, einschließlich Zugriff auf die Kamera, Gerätestandort, Fähigkeit zum Lesen und Senden von Textnachrichten, Lesen von E-Mails, Anruf- und Kontaktprotokollen usw., Aufzeichnen von Audio und Lesen und Schreiben von externem Speicher.
Es ist nicht klar, wie es diese Berechtigungen erhält, ob es versucht, das Opfer dazu zu bringen, sie zu erteilen, oder ob es den Android Accessibility Service missbraucht, um sich selbst die Berechtigungen zu erteilen.
Hier zeigen sich die Unterschiede zwischen diesem bedrohlichen Schauspieler und Turla. Wenn die Malware die Berechtigungen erhält, entfernt sie ihr Symbol und läuft im Hintergrund. Der Benutzer kann jedoch dank der permanenten Benachrichtigung im Dropdown-Menü wissen, dass die Anwendung ausgeführt wird.
Auch das Ziel, das der Angreifer mit Process Manager zu erreichen versucht, ist für Turla nicht geeignet. Die russische APT ist im Allgemeinen in der Cyberspionage tätig. Diese Malware installiert Dhan: Earn Wallet cash, eine beliebte System-App zum Geldverdienen, die im Play Store erhältlich ist. Laden Sie die App über das Empfehlungssystem herunter, um Provisionen für Angreifer zu verdienen.
Es ist auch unklar, wie Process Manager verteilt wird, aber höchstwahrscheinlich über Identitätsdiebstahl, Social Engineering und Phishing-Sites.
Via: BleepingComputer