Forscher bei Lab52 entdeckten eine hinterhältige Android-App, die große Mengen vertraulicher Daten vom Gerät eines Opfers sammelt und an Hacker C2 zurücksendet.
Diese App, die sich als Process Manager tarnt, ist scheinbar harmlos, bis sie sich selbst eine Reihe von Berechtigungen erteilt und ständig im Hintergrund läuft. Außerdem löscht sie das App-Symbol selbst, um nicht entdeckt zu werden. Forscher haben diese App mit einer vom russischen Staat unterstützten Hackerbande namens The Turla Group in Verbindung gebracht.
Neue bösartige Android-App von russischen Hackern
In der Welt der Cybersicherheit sind fast die Hälfte aller Cybervorfälle auf irgendeine Weise mit russischen Verbindungen verbunden. Ob Untergrundforen, profitorientierte Hacker oder staatlich unterstützte Hackergruppen – russische Cyberteams sind fast immer überall präsent.
Ein bemerkenswertes Team unter ihnen ist die Turla-Gruppe, eine vom russischen Staat unterstützte Hackergruppe, die erstmals im Jahr 2020 entdeckt wurde und jetzt mit einer bösartigen Android-App zurück ist. Diese scheinbar harmlose App mit dem Namen „Process Manager“ ist im Umlauf und zielt darauf ab, vertrauliche Daten von den Geräten der Opfer zu stehlen.
Diese Spyware wurde von den Forschern von Lab52 entdeckt und detailliert beschrieben. Sie tarnt sich als hilfreiches Tool, gewährt sich jedoch ohne das Wissen des Benutzers eine Reihe von Berechtigungen. Wie sie das macht, ist noch nicht bekannt, aber die Forscher geben an, dass es durch die Ausnutzung des Android Accessibility-Dienstes möglich ist.
Wenn ein Benutzer der App also unwissentlich die Berechtigung für den Zugriff auf den Bedienungshilfedienst erteilt, Diese App erteilt sich wiederum 18 weitere Berechtigungen wie Standortzugriff, Nachrichten lesen, Audioaufzeichnung usw. Und sobald es sich alle erforderlichen Berechtigungen erteilt hat, löscht es das App-Symbol automatisch, um unentdeckt zu bleiben.
Allerdings läuft es im Hintergrund und es wird permanent die Meldung „Process Manager läuft“ angezeigt. Die Forscher sagten außerdem, dass die App zahlreiche zusätzliche Schadsoftware herunterlädt und dies noch weiter untersucht werden müsse.
