Исследователи из фирмы по кибербезопасности Лаб52 обнаружили новое вредоносное ПО для Android с русскими ссылками. Вредонос маскируется под безобидное Android-приложение под названием «Диспетчер процессов». Приложение обманывает пользователя, предоставляя себе до 18 разрешений, что позволяет ему вторгаться в вашу жизнь различными способами. Он может отслеживать ваше точное местоположение, записывать звук с вашего устройства, получать доступ к файлам, читать сообщения, получать доступ к камере и изменять некоторые настройки устройства.
Вредоносное приложение предоставляет себе следующие 18 разрешений:
- Доступ к примерному местоположению
- Доступ к точному местоположению
- Камера
- Доступ к состоянию сети
- Доступ к состоянию Wi-Fi
- Служба переднего плана
- Интернет
- Изменить настройки звука
- Читать журнал вызовов
- Читать контакты
- Написать внешнее хранилище
- Чтение внешнего хранилища
- Запись аудио
- Чтение состояния телефона
- Читать СМС
- Получение загрузки завершено
- Отправить смс
- Журнал пробуждения
Это приложение также запрашивает доступ администратора, который может позволить ему отслеживать попытки разблокировки экрана, устанавливать срок действия пароля блокировки экрана, изменять блокировку экрана, устанавливать глобальный прокси-сервер устройства, сбрасывать устройство до заводских настроек и устанавливать шифрование хранилища.
Согласно отчету, приложение показывает предупреждение о предоставленных разрешениях при первом его открытии. На приложенных снимках экрана показано, что пользователи не могут отказать в разрешении на экране подсказки. Как только вредоносное ПО получает то, что ему нужно, приложение Process Manager исчезает из панели приложений и работает в фоновом режиме. Вы можете увидеть его только в панели уведомлений.
Имея доступ к такому количеству разрешений, эта вредоносная программа может украсть много конфиденциальной информации с вашего устройства. Кроме того, он также может осуществить несколько других хитрых действий, таких как установка приложений из магазина Google Play и злоупотребление ими. Исследователи обнаружили, что приложение пыталось загрузить приложение под названием Roz Dhan: Earn Wallet Cash, которое используется для заработка. Вредоносная программа использует свою реферальную систему для получения прибыли.
Эта вредоносная программа для Android связана с российскими хакерами, спонсируемыми государством
Согласно с Лаб52 (через Пищит Компьютер), вредоносное приложение Process Manager использует ту же инфраструктуру общего хостинга, которую ранее использовала спонсируемая государством российская хакерская группа Turla. Однако атрибуция Турле была невозможна. Это из-за его возможностей угрозы. Если бы это была работа сложной группы APT (расширенных постоянных угроз), такой как Turla, приложение попыталось бы оставаться скрытым, а не отображать постоянное уведомление. Но эта вредоносная программа действительно отправляет всю собранную информацию на сервер, расположенный в России.
В любом случае, если у вас есть это приложение на вашем Android-смартфоне, немедленно удалите его. Всегда устанавливайте приложения только из надежных источников.
