Les chercheurs en cybersécurité du Lab52 ont identifié un nouveau malware Android appelé Process Manager, capable d’enregistrer l’audio du terminal cible, ainsi que de lire et d’envoyer des SMS.
Bien que le logiciel malveillant semble partager quelques similitudes avec Turla, le célèbre acteur menaçant parrainé par l’État russe, il semblerait que le groupe ne soit pas derrière cette variante particulière, ou la campagne.
La similitude entre Process Manager et les autres logiciels malveillants Turla réside dans le fait que les deux utilisent la même infrastructure d’hébergement partagé.
Cachant à la vue
Une fois installé, le logiciel malveillant Process Manager est accompagné d’une icône en forme d’engrenage, pour essayer de tromper les victimes en leur faisant croire que l’application est un élément central d’Android. Après cela, il cherche à obtenir plus d’une douzaine d’autorisations, y compris l’accès à la caméra, l’emplacement de l’appareil, la possibilité de lire et d’envoyer des SMS, de lire les journaux d’appels et les contacts, d’enregistrer de l’audio et de lire et d’écrire un stockage externe.
On ne sait pas comment il obtient ces autorisations – s’il essaie de tromper la victime pour qu’elle les accorde, ou s’il abuse du service d’accessibilité Android pour s’accorder les autorisations.
C’est là que les différences entre cet acteur menaçant et Turla commencent à apparaître. Si le logiciel malveillant obtient les autorisations, il supprime son icône et s’exécute en arrière-plan. Néanmoins, l’utilisateur peut savoir que l’application est en cours d’exécution, grâce à la notification permanente qui se trouve dans le menu déroulant.
L’objectif que l’auteur de la menace essaie d’atteindre avec Process Manager ne convient pas non plus à Turla. L’APT russe est généralement engagée dans le cyberespionnage. Ce logiciel malveillant installe Dhan: Earn Wallet cash, une application populaire de système de parrainage générant de l’argent disponible sur le Play Store. Il télécharge l’application via le système de parrainage, pour gagner une commission pour les attaquants.
On ne sait pas non plus comment Process Manager est distribué, mais il est fort probable qu’il passe par le vol d’identité, l’ingénierie sociale et les sites de phishing.
Via : BleepingComputer