یک برنامه جاسوسافزار اندرویدی جدیدی شناسایی شده که بهعنوان یک سرویس «Process Manager» ظاهر میشود و بهطور مخفیانه اطلاعات حساس ذخیرهشده در دستگاههای آلوده را سرقت میکند.
نام فایل نصب این برنامه “com.remote.app” است و در زمان اجرا با سرور کنترل و فرماندهی 240[.]82.146.35 (Command-and-Control – به اختصار C2) که قبلاً توسط گروه نفوذگران روسی Turla بکار گرفته میشد، ارتباط برقرار میکند.
پویش این برنامه مخرب در سایت Virus Total در نشانی زیر قابل مشاهده میباشد.
https://www.virustotal.com/gui/file/e0eacd72afe39de3b327a164f9c69a78c9c0f672d3ad202271772d816db4fad8
هنگام اجرای برنامه، هشداری در خصوص مجوزهای اعطاء شده به برنامه ظاهر میشود. این مجوزها عبارتند از باز کردن قفل صفحه نمایش، قفل کردن صفحه نمایش، تنظیم پروکسی دستگاه، تنظیم تاریخ انقضای رمز قفل صفحه، رمزگذاری منابع ذخیرهسازی دستگاه و غیرفعال کردن دوربینها.
پس از فعالسازی برنامه، بدافزار نماد چرخ دنده شکل خود را از صفحه اصلی حذف نموده و در پسزمینه اجرا میشود و از مجوزهای گسترده خود جهت دسترسی به اطلاعات مخاطبین دستگاه و گزارشهای تماس، ردیابی موقعیت مکانی آنها، ارسال و خواندن پیامها، دسترسی به حافظه خارجی، گرفتن عکس و ضبط صدا سوءاستفاده میکند.
اطلاعات جمعآوریشده در قالب JSON ذخیره شده و متعاقباً به سرور کنترل و فرماندهی منتقل میشود. با وجود استفاده همزمان از سرور C2، شواهد کافی برای نسبت دادن قطعی این جاسوسافزار به گروه Turla وجود ندارد.
همچنین در این مرحله، روش توزیع اولیه جاسوسافزار و اهداف مورد نظر کارزار، شناسایی نشده است. ولی با این حال، جاسوسافزار مذکور سعی میکند یک برنامه واقعی و قانونی به نام Roz Dhan (به معنی ثروت روزانه) را که در Google Play موجود است، دریافت و نصب کند. برنامه Roz Dhan که بیش از 10 میلیون بار نصب شده، به کاربران امکان میدهد بابت شرکت در نظرسنجیها و تکمیل پرسشنامهها جوایز نقدی دریافت کنند. این برنامه دارای یک گزینه پاداش بابت “معرفی کاربر جدید” (Referral) است که توسط جاسوسافزار مورد سوءاستفاده قرار میگیرد و مهاجم با نصب آن بر روی دستگاههای قربانی، درآمد کسب میکند.
مشروح گزارش در خصوص این جاسوسافزار در نشانی زیر قابل دریافت و مطالعه است:
https://lab52.io/blog/complete-dissection-of-an-apk-with-a-suspicious-c2-server/
منبع:
https://thehackernews.com/2022/04/researchers-uncover-new-android-spyware.html