Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Новое шпионское ПО для Android записывает аудио и отслеживает местоположение

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


Reply
 
Thread Tools Display Modes
  #1  
Old 02-01-2025, 08:17 AM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Шпионское ПО предположительно связано с хакерской группировкой Turla.

Специалисты компании Lab52 смогли связать ранее неизвестное вредоносное ПО для Android-устройств с хакерской группировкой Turla. Исследователи обнаружили, что приложение использовало инфраструктуру, ранее уже связанную с Turla.
Эксперты выявили вредоносный APK Process Manager, играющий роль шпионского ПО для Android-устройств, которое отправляет данные с них хакерам.
Каким образом происходит заражение, пока неясно. Как правило, Turla распространяет свои вредоносные инструменты с помощью фишинговых атак, социальной инженерии, атак watering hole (заражение вредоносным ПО через взломанные сайты, посещаемые жертвой) и пр.
После установки Process Manager пытается скрыть свое присутствие на устройстве с помощью иконки в виде шестеренки, выдавая себя за системный компонент.
После первого запуска приложение получает 18 разрешений:
  • Доступ к данным о местоположении;

  • Доступ к статусу сети;

  • Доступ к статусу Wi-Fi;

  • Доступ к камере;

  • Доступ к интернету;

  • Разрешение на изменение настроек аудио;

  • Разрешение на чтение журналов звонков;

  • Разрешение на чтение списков контактов;

  • Разрешение на чтение данных во внешних хранилищах;

  • Разрешение на запись данных во внешние хранилища;

  • Разрешение на чтение статуса телефона;

  • Разрешение на чтение SMS-сообщений;

  • Разрешение на запись аудио;

  • Разрешение на отправку SMS-сообщений и пр.


Пока непонятно, использует ли вредонос сервис Android Accessibility, чтобы получить разрешения, или запрашивает их у пользователя.
Получив разрешения, шпионская программа удаляет свою иконку и запускается в фоновом режиме. Однако о ее присутствии свидетельствует постоянное уведомление, что нехарактерно для шпионского ПО, главной задачей которого является сокрытие своего присутствия на устройстве.
В ходе анализа вредоносного ПО команда Lab52 также обнаружила, что оно загружает дополнительные полезные нагрузки на устройство, и в одном случае приложение даже было загружено непосредственно из Play Store.
Приложение называется Roz Dhan: Earn Wallet cash (10 млн загрузок) и имеет реферальную систему генерирования денег.
Похоже, что вредонос загружает APK через реферальную систему приложения с целью получения комиссионных. Это очень странно, поскольку Turla специализируется на кибершпионаже.
Данный факт, а также сравнительно несложная реализация вредоноса наводят на мысль о том, что проанализированный исследователями C&C-сервер является частью инфраструктуры, которую используют несколько группировок.
Reply

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 10:45 AM.

Contact Us - Carder.life - Archive - Top