I ricercatori di Lab52 hanno individuato un nuovo spyware per Android, denominato Process Manager, mascherato da App legittima presente su Google Play. Il malware utilizza la stessa stessa infrastruttura del gruppo russo Turla, tuttavia, al momento non è attualmente associato a nessuna APT.
L’App viene visualizzata sul dispositivo Android con un’icona a forma di ingranaggio. Quando viene eseguita, il malware finge di essere un componente di sistema e richiede 18 autorizzazioni diverse all’utente, dal blocco dello schermo all’accesso alla rete WiFi e fotocamera e altre ancora.
Il manifest, inoltre, visualizza ulteriori informazioni sulla configurazione dell’applicazione.
- android:allowBackup=true: consente di aggiungere i dati dell’applicazione al backup.
- android:exported=true: può condividere informazioni con altre app ed essere accessibile dal dispositivo.
- android_secret_code: nel manifest è presente il codice segreto che può consentire l’accesso a contenuti nascosti.
Una volta ottenute le autorizzazioni richieste, il malware rimuove la sua icona e l’applicazione viene eseguita in background, visualizzata nella barra delle notifiche. Una volta configurata, vengono eseguite tutte le attività che sottraggono le informazioni dal dispositivo e le aggiungono a un JSON.
Raccolte tutte le informazioni in formato JSON, l’applicazione contatta il C2 (82.146.35[.]240) e identifica il dispositivo in base al suo modello, versione, id e produttore e successivamente invia le informazioni che ha rubato allo stesso server, situato in Russia.
I ricercatori spiegano che l’applicazione è su Google Play, viene utilizzata per guadagnare denaro e ha un sistema di riferimento che viene abusato dal malware e che l’attaccante lo installa sul dispositivo realizzando un profitto.
https://lab52.io/blog/complete-dissection-of-an-apk-with-a-suspicious-c2-server/