I ricercatori hanno scoperto un malware per Android precedentemente sconosciuto e collegato alla Russia, che si maschera come un’app di sistema chiamata ‘Process Manager‘, mentre raccoglie una grande quantità di dati degli utenti.
Secondo Lab52 , il malware è legato a Turla, un gruppo di hacker russo sponsorizzato dallo stato noto per l’utilizzo di malware personalizzato per colpire i sistemi europei e americani, in genere per lo spionaggio. Inoltre, Turla è stato recentemente collegato alla backdoor ‘Sunburst’ utilizzata nell’attacco SolarWinds del 2020.
Lab52 ha identificato un APK dannoso il tipo di file utilizzato per le applicazioni Android chiamato ‘Process Manager‘. Non è chiaro come gli attori delle minacce distribuiscano l’APK agli utenti. Sulla base della connessione a Turla, è possibile che gli attori delle minacce utilizzino schemi di phishing o di ingegneria sociale per far installare l’app sui dispositivi.
Una volta installata, tuttavia, l’app si traveste con un’icona a forma di ingranaggio per sembrare un componente del sistema. Insieme al nome ‘Process Manager‘, potrebbe essere facilmente scambiato per una parte del sistema Android.
Al primo avvio, Lab52 dice che l’app richiede all’utente di concedere 18 permessi, tra cui l’accesso alla posizione, alla fotocamera, ai registri delle chiamate, agli SMS, la possibilità di leggere e scrivere sullo storage e altro ancora.
Con questi permessi, Process Manager può effettivamente raccogliere un’enorme quantità di dati sul proprietario del dispositivo e Lab52 ha notato che non è chiaro se l’app utilizzi il servizio di accessibilità di Android per concedersi i permessi, o se inganna gli utenti a concedere il permesso. Inoltre, una volta che il malware ottiene le autorizzazioni, rimuove la sua icona e viene eseguito in background. È interessante notare che l’app mostra una notifica che dice che è in esecuzione, il che sembra controintuitivo per un’app spyware che vorrebbe rimanere nascosta.
Lab52 ha anche scoperto che il malware ha installato ulteriori app sui dispositivi delle vittime, tra cui una chiamata “Roz Dhan: Earn Wallet cash“, una popolare app per guadagnare denaro. Il malware sembra installare l’app utilizzando il suo sistema di riferimento, probabilmente guadagnando una commissione per i creatori.
Tutto questo sembra relativamente strano per uno spyware e Bleeping Computer suggerisce che la natura non sofisticata può indicare che lo spyware è parte di un sistema più grande.
La pubblicazione suggerisce anche alcuni modi in cui gli utenti Android possono proteggersi. Per esempio, controllare la funzione ‘Permission manager‘ nell’app Impostazioni.
È una buona idea revocare i permessi per tutte le app di cui non ci si fida, o che sembrano rischiose. Gli utenti dovrebbero anche prestare attenzione ai nuovi indicatori di utilizzo della fotocamera e del microfono che appaiono sui dispositivi con Android 12.
Se questi indicatori appaiono quando non si sta usando la fotocamera o il microfono, potrebbe indicare la presenza di spyware sul tuo dispositivo.
