最近的网络安全研究中,发现了一个 Android 间谍软件应用程序伪装成进程管理器服务,以偷偷窃取存储在受感染设备中的敏感信息。
根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,该应用程序的包名为 com.remote.app ,与远程命令和控制C2服务器 82.146.35.240 建立了联系,该服务器此前被确定为属于俄罗斯Turla黑客组织的基础设施。
当应用程序运行时,会出现关于授予应用程序权限的警告,这些包括屏幕解锁尝试、锁定屏幕、设置设备全局代理、设置屏幕锁定密码到期、设置存储加密和禁用摄像头。
一旦应用程序被激活,恶意软件就会从主屏幕上移除其齿轮状图标并在后台运行,滥用其广泛的权限来访问设备的联系人和通话记录、跟踪其位置、发送和阅读消息、访问外部存储、拍照和录制音频。
收集到的信息以 JSON 格式存储,然后传输到上述远程服务器。尽管使用的 C2 服务器存在重叠,但安全研究人员认为,目前没有足够的证据来明确地将恶意软件归咎于 Turla 组织。
该恶意 Android 应用程序还试图下载一个名为Roz Dhan(在印地语中意为“每日财富”)的合法应用程序,该应用程序的安装量超过 1000 万,并允许用户通过完成调查和问卷获得现金奖励。