I ricercatori di Lab52 hanno individuato una app dal nome “Process Manager” che in realtà fungerebbe da spyware Android.
L’installazione dello spyware
Sebbene non sia nota la fonte di distribuzione, una volta installato l’APK Process Manager tenterebbe di nascondersi fingendo di essere un componente del sistema utilizzando un’icona a forma di ingranaggio.
Al suo primo avvio, l’app richiederebbe il consenso su diverse autorizzazioni che rappresentano un serio rischio per la privacy in quanto consentirebbero di ottenere la posizione del dispositivo, inviare e leggere testi, accedere all’archiviazione, scattare foto e registrare audio.
Sebbene non sia chiaro se il malware abusi del servizio di accessibilità Android per ottenere tali autorizzazioni o se induca l’utente alla approvazione, dopo averle ottenute il processo di configurazione rimuove l’icona identificativa e esegue lo spyware in background. Tutte le informazioni raccolte dal dispositivo, inclusi registri, SMS, registrazioni e notifiche di eventi, verrebbero infine inviate in una struttura dati in formato JSON al server di comando e controllo all’indirizzo 82.146.35[.]240.
Inoltre si legge nel rapporto che per avviare ciascuna delle sue attività, il malware possieda dei comandi predefiniti.
In particolare in una delle comunicazioni che il malware sarebbe in grado di effettuate, il team Lab52 avrebbe notato anche il tentativo di scaricare un’applicazione chiamata Rozdhan: Earn Wallet cash utilizzando un link short (goo[.gl\8rd3yj).
Si tratterebbe di una app per guadagnare denaro scaricabile dal Google Play Store India e impiegata abusivamente dall’attaccante per ottenere profitti nascosti.
Incerta attribuzione
Nonostante tale spyware sembri impiegare l’infrastruttura del gruppo nation-state russo “Turla”, i ricercatori Lab52 non non ne ritengano comunque possibile l’attribuzione sulla base delle capacità di questo malware rilevate.
Conclusioni
Coloro che avessero già installato l’applicazione Process Manager credendo che fosse una utility per l’ottimizzazione delle prestazioni del proprio smartphone devono, per ovvi motivi, immediatamente procedere alla sua rimozione evitando anche in futuro di scaricare app da store non ufficiali, fonti terze o reti P2P.
Restano sempre valide le buone regole antiphishing e il consiglio di dotare di un AV anche i propri dispositivi mobili.
Nel momento della stesura dell’articolo risulta ancora insoddisfacente il tasso di rilevamento del malware. E questo purtroppo accresce ulteriormente il rischio d’infezione.
Di seguito gli IoC pubblicati
| 82[.]146.35.240 | C2 |
| e0eacd72afe39de3b327a164f9c69a78c9c0f672d3ad202271772d816db4fad8 | SHA256 |
| 51ab555404b7215af887df3146ead5e44603be9765d39c533c21b5737a88f176 | SHA256 |
| hxxps://videos-share-rozdhan[.]firebaseio.com | URL |
| hxxp://ylink[.]cc/fqCV3 | URL |
| hxxp://d3hdbjtb1686tn.cloudfront[.]net/gpsdk.html | URL |
| hxxp://da.anythinktech[.]com | URL |
| akankdev2017@gmail[.]com | EMAIL SRC |
