Er is een Android-spywaretoepassing gespot die zich voordoet als een “Process Manager”-service om heimelijk gevoelige informatie die is opgeslagen op de geïnfecteerde apparaten over te hevelen.
Interessant is dat de app – die de pakketnaam heeft “com.remote.app” — maakt contact met een externe command-and-control-server, 82.146.35[.]240, die eerder is geïdentificeerd als infrastructuur die toebehoort aan de in Rusland gevestigde hackgroep die bekend staat als Turla.
“Wanneer de applicatie wordt uitgevoerd, verschijnt er een waarschuwing over de machtigingen die aan de applicatie zijn verleend”, onderzoekers van Lab52 zei. “Deze omvatten pogingen om het scherm te ontgrendelen, het scherm vergrendelen, de globale proxy van het apparaat instellen, het verlopen van het wachtwoord voor schermvergrendeling instellen, opslagversleuteling instellen en camera’s uitschakelen.”
Zodra de app is “geactiveerd”, verwijdert de malware het tandwielvormige pictogram van het startscherm en wordt op de achtergrond uitgevoerd, waarbij misbruik wordt gemaakt van de brede machtigingen om toegang te krijgen tot de contacten en oproeplogboeken van het apparaat, de locatie te volgen, berichten te verzenden en te lezen, toegang te krijgen tot externe opslag, foto’s maken en audio opnemen.
De verzamelde informatie wordt vastgelegd in een JSON-formaat en vervolgens verzonden naar de bovengenoemde externe server. Ondanks de overlap in de gebruikte C2-server, zei Lab52 dat het niet genoeg bewijs heeft om de malware toe te schrijven aan de Turla-groep.
Ook onbekend in dit stadium is de exacte initiële toegangsvector die wordt gebruikt voor het verspreiden van de spyware en de beoogde doelen van de campagne.
Dat gezegd hebbende, probeert de malafide Android-app ook een legitieme applicatie te downloaden genaamd Roz Dhan (wat “Daily Wealth” betekent in het Hindi) met meer dan 10 miljoen installaties en waarmee gebruikers geldbeloningen kunnen verdienen voor het invullen van enquêtes en vragenlijsten.
“De applicatie, [which] is op Google Play en wordt gebruikt om geld te verdienen, heeft een verwijzingssysteem dat wordt misbruikt door de malware”, aldus de onderzoekers. “De aanvaller installeert het op het apparaat en maakt winst.”
