Malware russo para Android usado em ciber espionagem

Publicado em por

Um malware para Android até agora desconhecido começou recentemente a propagar-se em massa por vários dispositivos, e em diferentes países, focado em realizar ações de espionagem. O malware acredita-se que esteja relacionado com grupos na Rússia.

De acordo com os investigadores da empresa de segurança Lab52, acredita-se que o malware tenha sido desenvolvido pelo grupo Turla, que possui ligações ao governo russo. Este foca-se em infetar dispositivos Android com o objetivo de realizar espionagem pelos mesmos – nomeadamente através da gravação de imagens da câmara e de áudio, mas o malware pode realizar muito mais em segundo plano.

A APK do malware propaga-se sobre o nome de “Process Manager”, fazendo-se passar por um gestor de serviços para Android. Uma vez instalado no sistema, o mesmo requer uma quantidade elevada de permissões para realizar as atividades maliciosas, desde recolher a localização do utilizador, as mensagens, ficheiros, histórico de chamadas, entre outros detalhes sensíveis.

O mais grave será a capacidade do malware ativar o microfone e a câmara a qualquer momento, registando os conteúdos dos mesmos. Existe ainda a possibilidade de o malware enganar os utilizadores a ativarem o serviço de acessibilidade para o mesmo, o que permite a este obter as permissões necessárias sem que o utilizador tenha de realizar qualquer intervenção.

permissões da app maliciosa

A aplicação corre em segundo plano nos dispositivos, sendo que a única forma de identificar a mesma será através de uma notificação permanente na barra de notificações. O ícone para remover a app também é removido do ecrã inicial do sistema.

Os investigadores também descobriram que, em segundo plano, a app maliciosa pode descarregar outras apps disponíveis na Play Store, e que curiosamente o realiza para uma app conhecida como “Roz Dhan: Earn Wallet cash” – a qual promete oferecer dinheiro a troco de algumas ações dos utilizadores.

Ainda se desconhece qual o motivo pelo qual a aplicação faz download desta app em particular, mas acredita-se que possa ser de forma a obter ganhos extra através de afiliados para o download da mesma – o que será igualmente estranho, tendo em conta que a app se foca em ser usada para ciber-espionagem.

Seja como for, a recomendação para os utilizadores continua a ser a de terem extremo cuidado com qualquer aplicação descarregada fora de fontes originais, bem como analisar atentamente todas as permissões das mesmas, evitando qualquer ativação do serviço de acessibilidade se possível.