Pesquisadores da empresa de segurança cibernética Laboratório52 descobriram um novo malware Android com links russos. O malware está disfarçado como um aplicativo Android inofensivo chamado “Gerenciador de processos”. O aplicativo engana o usuário para conceder a si mesmo até 18 permissões, o que permitiria invadir sua vida de várias maneiras. Ele pode rastrear sua localização precisa, gravar áudio do seu dispositivo, acessar arquivos, ler mensagens, acessar a câmera e modificar algumas configurações do dispositivo.
O aplicativo de malware concede a si mesmo as 18 permissões a seguir:
- Acessar localização aproximada
- Acesse a boa localização
- Câmera
- Acessar o estado da rede
- Acessar o estado do Wi-Fi
- Serviço de primeiro plano
- Internet
- Modificar as configurações de áudio
- Ler registro de chamadas
- Ler contatos
- Gravar armazenamento externo
- Ler armazenamento externo
- Gravar audio
- Ler o estado do telefone
- Ler SMS
- Receber inicialização concluída
- Enviar SMS
- Registro de despertar
Este aplicativo também solicita acesso de administrador, o que pode permitir que ele monitore as tentativas de desbloqueio de tela, defina a expiração da senha de bloqueio de tela, altere o bloqueio de tela, defina o proxy global do dispositivo, redefina o dispositivo de fábrica e defina a criptografia de armazenamento.
De acordo com relatório, o aplicativo mostra um aviso sobre as permissões concedidas quando você o abre pela primeira vez. As capturas de tela anexadas sugerem que os usuários não podem negar as permissões na tela de prompt. Quando o malware tem o que precisa, o aplicativo Process Manager desaparece da gaveta de aplicativos e é executado em segundo plano. Você só pode vê-lo na barra de notificação.
Com acesso a tantas permissões, esse malware tem o potencial de roubar muitas informações confidenciais do seu dispositivo. Além disso, também pode realizar alguns outros movimentos sorrateiros, como instalar aplicativos da Google Play Store e abusar deles. Os pesquisadores descobriram que o aplicativo tentou baixar um aplicativo chamado Roz Dhan: Earn Wallet Cash, que é usado para ganhar dinheiro. O malware abusa de seu sistema de referência para obter lucro.
Este malware Android tem links para hackers patrocinados pelo estado russo
De acordo com Laboratório52 (através da Computador apitando), o aplicativo de malware do Gerenciador de Processos usa a mesma infraestrutura de hospedagem compartilhada que o grupo de hackers patrocinado pelo Estado russo Turla foi visto usando anteriormente. A atribuição a Turla não foi possível. Isso é por causa de suas capacidades de ameaça. Se fosse o trabalho de um grupo sofisticado de APT (ameaça persistente avançada) como o Turla, o aplicativo teria tentado permanecer oculto em vez de mostrar uma notificação persistente. Mas esse malware envia todas as informações coletadas para um servidor localizado na Rússia.
De qualquer forma, se você tiver este aplicativo em seu smartphone Android, exclua-o imediatamente. Certifique-se sempre de instalar apenas aplicativos de fontes confiáveis.