Pesquisadores de segurança cibernética do Lab52 identificaram um novo malware para Android chamado Process Manager, capaz de gravar o áudio do endpoint de destino, além de ler e enviar mensagens SMS.
Embora o malware pareça compartilhar algumas semelhanças com o popular ator de ameaças patrocinado pelo Estado russo Turla, parece que o grupo não está por trás dessa variante específica ou da campanha.
A semelhança entre o Process Manager e outro malware Turla está no fato de que ambos usam a mesma infraestrutura de hospedagem compartilhada.
Escondendo-se em plena vista
Quando instalado, o malware Process Manager vem com um ícone em forma de engrenagem, para tentar enganar as vítimas a pensar que o aplicativo é um item central do Android. Depois disso, ele busca obter mais de uma dúzia de permissões, incluindo acesso à câmera, localização do dispositivo, capacidade de ler e enviar mensagens SMS, ler registros de chamadas e contatos, gravar áudio e ler e gravar armazenamento externo.
Não está claro como ele obtém essas permissões – se tenta induzir a vítima a concedê-las ou se abusa do serviço de acessibilidade do Android para conceder as permissões.
É aqui que as diferenças entre esse ator de ameaça e Turla começam a aparecer. Se o malware obtiver as permissões, ele removerá seu ícone e será executado em segundo plano. Ainda assim, o usuário pode saber que o aplicativo está em execução, devido à notificação permanente que fica no menu suspenso.
O objetivo que o agente da ameaça está tentando alcançar com o Process Manager também não se adequa ao Turla. O APT russo geralmente está envolvido em espionagem cibernética. Este malware instala o Dhan: Earn Wallet cash, um aplicativo popular de sistema de indicação de geração de dinheiro encontrado na Play Store. Ele baixa o aplicativo através do sistema de referência, para ganhar comissão para os invasores.
Também não está claro como o Process Manager está sendo distribuído, mas provavelmente está fazendo rondas por meio de roubo de identidade, engenharia social e sites de phishing.