Eine Android-Spyware-Anwendung wurde entdeckt, die sich als „Prozessmanager“-Dienst tarnt, um heimlich sensible Informationen abzuschöpfen, die auf den infizierten Geräten gespeichert sind.
Interessanterweise nimmt die App mit dem Paketnamen „com.remote.app“ Kontakt mit einem Remote Command-and-Control-Server (82.146.35[.]240) auf, der bereits als Infrastruktur der russischen Hackergruppe Turla identifiziert wurde.
„Wenn die Anwendung ausgeführt wird, erscheint eine Warnung über die Berechtigungen, die der Anwendung erteilt wurden“, so die Forscher von Lab52. „Dazu gehören Entsperrungsversuche, das Sperren des Bildschirms, das Einstellen des globalen Proxys des Geräts, das Einstellen des Ablaufs des Kennworts für die Bildschirmsperre, das Einstellen der Speicherverschlüsselung und das Deaktivieren der Kameras.“
Sobald die App „aktiviert“ ist, entfernt die Malware ihr zahnradförmiges Symbol vom Startbildschirm und läuft im Hintergrund. Dabei missbraucht sie ihre weitreichenden Berechtigungen, um auf die Kontakte und Anrufprotokolle des Geräts zuzugreifen, seinen Standort zu verfolgen, Nachrichten zu senden und zu lesen, auf externen Speicher zuzugreifen, Bilder zu knipsen und Audio aufzunehmen.
Die gesammelten Informationen werden in einem JSON-Format erfasst und anschließend an den oben erwähnten Remote-Server übertragen. Trotz der Überschneidungen bei den verwendeten C2-Servern hat Lab52 nach eigenen Angaben nicht genügend Beweise, um die Malware eindeutig der Turla-Gruppe zuzuordnen.
Zum jetzigen Zeitpunkt ist auch nicht bekannt, über welchen Vektor die Spyware ursprünglich verbreitet wurde und welche Ziele mit der Kampagne verfolgt wurden.
Allerdings versucht die betrügerische Android-App auch, eine legitime Anwendung namens Roz Dhan (was auf Hindi „Täglicher Reichtum“ bedeutet) herunterzuladen, die bereits über 10 Millionen Mal installiert wurde und mit der Nutzer/innen Geld für das Ausfüllen von Umfragen und Fragebögen verdienen können.
„Die Anwendung, die bei Google Play zu finden ist und zum Geldverdienen genutzt wird, verfügt über ein Empfehlungssystem, das von der Malware missbraucht wird“, so die Forscher. „Der Angreifer installiert die Anwendung auf dem Gerät und macht daraus Profit.