
Onderzoekers van Lab52 heeft een Android-malware gedetecteerd met de naam “Process Manager”, gerelateerd aan de bekende Russische hackgroep Turla. Volgens Virustotaalhebben 30 beveiligingsagenten dit bestand als kwaadaardig gemarkeerd.
De Russische staat steunt de Turla Hacker-groep omdat de groep geĆÆnteresseerd is in het targeten van Europese en Amerikaanse systemen en ook bekend staat om het gebruik van aangepaste malware.
De malware is ontworpen om eruit te zien als een onschadelijke APK, maar toont zijn ware kleuren na installatie; het begint gevoelige informatie te verzamelen en terug te sturen naar de aanvallers.
Russian Hacker Group gebruikt kwaadaardige APK om persoonlijke informatie te stelen
Zodra je het hebt gedownload, vraagt āāde app om 18 machtigingen, inclusief toegang tot berichten, locatie en audio-opnamefuncties. Onderzoekers weten niet zeker hoe de malware zichzelf toelaat, maar kwaadaardige code doet dit vaak door gebruik te maken van de Android Accessibility-service.
Wanneer Malicious APK krijgt wat het nodig heeft, onderneemt het nog een sluwe zet, verwijdert het het pictogram en draait het op de achtergrond met alleen een permanente melding die zijn aanwezigheid aangeeft.
De informatie die door het apparaat wordt verzameld, inclusief lijsten, logboeken, sms, opnames en gebeurtenismeldingen, wordt in JSON-indeling verzonden naar de command and control-server op 82.146.35[.]240.

Volgens Lab52, Uiteindelijk maakte Malware APK de verbinding goo.gle korter, en ze hebben gemerkt dat het probeerde een applicatie genaamd Rozdhan te downloaden. De applicatie staat op Google Play en wordt gebruikt om geld te verdienen; het heeft een verwijzingssysteem dat wordt misbruikt door malware. De aanvaller installeert het op het apparaat en maakt winst.
Bovendien kunnen aanvallers de gestolen informatie ook voor andere doeleinden gebruiken. Gebruikers van Android-apparaten wordt aangeraden de verleende app-machtigingen te controleren, wat vrij eenvoudig zou moeten zijn voor versies van Android 10 en hoger, en degenen die te riskant lijken te weigeren.
De Turla-hackgroep is betrokken bij verschillende spraakmakende cyberaanvallen, waaronder bemoeienis met de Amerikaanse presidentiële campagne van 2016 en de aanval op de toeleveringsketen van SolarWinds in december 2020. Er is een kans dat ze ook als cyberaanvaller betrokken is bij het conflict tussen Rusland en Oekraïne. .