Ένα κακόβουλο λογισμικό Android που ήταν άγνωστο στο παρελθόν έχει συνδεθεί με την ομάδα hacking Turla αφού ανακάλυψε την υποδομή που χρησιμοποιούσε η εφαρμογή που προηγουμένως είχε αποδοθεί στους παράγοντες απειλών.
Η Turla είναι μια ομάδα hacking που υποστηρίζεται από το ρωσικό κράτος, γνωστή για τη χρήση προσαρμοσμένου κακόβουλου λογισμικού για τη στόχευση ευρωπαϊκών και αμερικανικών συστημάτων, κυρίως για κατασκοπεία.
Οι παράγοντες απειλών συνδέθηκαν πρόσφατα με την κερκόπορτα Sunburst που χρησιμοποιήθηκε στην επίθεση της αλυσίδας εφοδιασμού της SolarWinds τον Δεκέμβριο του 2020.
Ερευνητές από το Lab52 εντόπισαν ένα κακόβουλο APK [VirusTotal] με το όνομα «Διαχειριστής Διαδικασιών» που λειτουργεί ως λογισμικό υποκλοπής Android, ανεβάζοντας πληροφορίες στους παράγοντες απειλών .
Αν και δεν είναι σαφές πώς διανέμεται το λογισμικό υποκλοπής spyware, αφού εγκατασταθεί, το Process Manager επιχειρεί να κρυφτεί σε μια συσκευή Android χρησιμοποιώντας ένα εικονίδιο σε σχήμα γραναζιού, προσποιούμενος ότι είναι στοιχείο συστήματος.
Κατά την πρώτη εκκίνηση, η εφαρμογή ζητά από τον χρήστη να του επιτρέψει να χρησιμοποιήσει 18 δικαιώματα. Αυτές οι άδειες αποτελούν σοβαρό κίνδυνο για το απόρρητο, καθώς επιτρέπουν στην εφαρμογή να εντοπίζει την τοποθεσία μιας συσκευής, να στέλνει και να διαβάζει κείμενα, να έχει πρόσβαση στον χώρο αποθήκευσης, να τραβήξει φωτογραφίες με την κάμερα και να εγγράψει ήχο .
Δεν είναι σαφές εάν το κακόβουλο λογισμικό κάνει κατάχρηση της υπηρεσίας Προσβασιμότητας Android για να παραχωρήσει στον εαυτό του άδειες ή αν εξαπατά τον χρήστη για να εγκρίνει ένα αίτημα.
Αφού λάβει τα δικαιώματα, το λογισμικό κατασκοπείας αφαιρεί το εικονίδιό του και εκτελείται στο παρασκήνιο με μόνο μια μόνιμη ειδοποίηση που υποδεικνύει την παρουσία του.