Pesquisadores descobrem novo spyware para Android ligado aos hackers russos Turla

Nota: O seguinte artigo irá ajudá-lo com: Pesquisadores descobrem novo spyware para Android ligado aos hackers russos Turla

Foi descoberto um aplicativo spyware para Android que atua como um serviço “Gerenciador de Processos” para capturar dados confidenciais de dispositivos infectados. O aplicativo, que tem o nome do pacote “com.remote.app”, estabelece comunicação com um servidor remoto de comando e controle, 82.146.35[.]240, que já foi identificado como infraestrutura pertencente à gangue de hackers Turla localizada na Rússia.

De acordo com pesquisadores do Lab52,

Quando o aplicativo é executado, aparece um aviso sobre as permissões concedidas ao aplicativo. Isso inclui tentativas de desbloqueio de tela, bloqueio de tela, configuração do proxy global do dispositivo, configuração de expiração de senha de bloqueio de tela, configuração de criptografia de armazenamento e desativação de câmeras.

Pesquisadores descobrem novo spyware para Android ligado a hackers do Turla

Uma vez “ativado”, o vírus oculta seu ícone em forma de engrenagem na tela inicial e é executado em segundo plano, explorando os amplos recursos do aplicativo para acessar os contatos e histórico de chamadas do dispositivo, rastrear sua localização, enviar e ler mensagens, acessar armazenamento externo, tirar fotos e gravar áudio.

Os dados coletados são salvos no formato JSON e enviados para o servidor remoto especificado anteriormente. Apesar do uso do mesmo servidor C2, o Lab52 afirma não ter evidências suficientes para vincular o malware à organização Turla. O vetor de acesso inicial real usado para entregar o malware e os alvos pretendidos da campanha também são desconhecidos no momento.

No entanto, o software Android desonesto também tenta baixar um aplicativo legítimo chamado Roz Dhan (hindi para “Riqueza Diária”), que tem mais de 10 milhões de downloads e permite que os usuários ganhem incentivos em dinheiro completando pesquisas e questionários. Nesse sentido, disseram os pesquisadores,

A aplicação, [which] está no Google Play e é usado para ganhar dinheiro, tem um sistema de referência que é abusado por malware. O invasor o instala no dispositivo e obtém lucro.

Verificação de saída? Hackers distribuem aplicativos de carteira DeFi trojanizados para roubar criptomoedas