Yeni bir Android kötü amaçlı yazılımı, cihaza yerleştirildikten sonra sesi kaydeden ve konumu takip eden bir güvenlik araştırmacısı ekibi tarafından tespit edildi ve detaylandırıldı. Kötü amaçlı yazılım, daha önce Turla olarak bilinen bir Rus bilgisayar korsanları ekibi tarafından kullanıldığı tespit edilen aynı paylaşılan barındırma altyapısını kullanıyor. Ancak Rus devlet destekli grubun yeni keşfedilen kötü amaçlı yazılımla doğrudan bir ilişkisi olup olmadığı net değil. Bir Android casus yazılımı olarak çalışan ve kullanıcılara açık bir referans vermeden arka planda eylemler gerçekleştiren kötü amaçlı bir APK dosyası aracılığıyla ulaşır.
Tehdit istihbarat firması Lab52’deki araştırmacılar, tanımlanmış Process Manager adlı Android kötü amaçlı yazılımı. Kurulduktan sonra, cihazın uygulama çekmecesinde dişli şeklinde bir simge olarak göründü – önceden yüklenmiş bir sistem hizmeti olarak gizlendi.
Araştırmacılar, uygulamanın cihazda ilk kez çalıştırıldığında toplam 18 izin istediğini buldu. Bu izinler arasında telefon konumuna erişim, Wi-Fi bilgileri, dahili kamera sensörlerinden fotoğraf ve video çekme ve ses kaydı için ses kaydedici sayılabilir.
Uygulamanın, Android Erişilebilirlik hizmetini kötüye kullanarak veya kullanıcıları erişimlerine izin vermeleri için kandırarak izin alıp almadığı açık değil.
Ancak, kötü amaçlı uygulama ilk kez çalıştırıldıktan sonra simgesi uygulama çekmecesinden kaldırılır. Yine de uygulama, aktif durumu bildirim çubuğunda mevcut olarak arka planda çalışmaya devam eder.
Araştırmacılar, uygulamanın cihazı, bir görev listesi yürütmeye başlamak için aldığı izinlere göre yapılandırdığını fark ettiler. Bunlar, yüklü olduğu telefonla ilgili ayrıntıların yanı sıra Wi-Fi ayarları ve kişiler dahil olmak üzere ses kaydetme ve bilgi toplama özelliğini içerir.
Araştırmacılar, özellikle ses kaydı kısmında, uygulamanın cihazdan gelen sesi kaydettiğini ve MP3 formatında önbellek dizinine çıkardığını keşfettiler.
Kötü amaçlı yazılım tüm verileri toplar ve JSON formatında Rusya’da bulunan bir sunucuya gönderir.
Kötü amaçlı yazılımın cihazlara tam olarak hangi kaynaktan ulaştığı bilinmemekle birlikte araştırmacılar, yaratıcılarının Roz Dhan: Earn Wallet Cash adlı bir uygulamanın yönlendirme sistemini kötüye kullandığını buldu. Indirilebilir Google Play’de ve 10 milyondan fazla indirmeye sahip. Kötü amaçlı yazılımın, sonunda saldırganların onu cihaza yüklemesine yardımcı olan ve yönlendirme sisteminden kâr sağlayan meşru uygulamayı indirdiği söyleniyor.
Saldırganlar siber casusluğa odaklanmış gibi göründüğü için casus yazılımlar için nispeten nadir görünüyor. Bleping Bilgisayar olarak notlaryönlendirme sisteminden komisyon kazanmak için bir uygulamayı indirmenin garip davranışı, kötü amaçlı yazılımın henüz keşfedilmemiş daha büyük bir sistemin parçası olabileceğini gösteriyor.
Bununla birlikte, Android kullanıcılarının cihazlarına bilinmeyen veya şüpheli uygulamalar yüklemekten kaçınmaları önerilir. Kullanıcılar, üçüncü tarafların donanımlarına erişimini sınırlamak için verdikleri uygulama izinlerini de gözden geçirmelidir.