Android间谍APP伪装成进程管理器,疑隶属于Turla黑客组织

研究人员用链接到Turla黑客链接的C2服务器发现新的Android间谍软件

最近的网络安全研究中,发现了一个 Android 间谍软件应用程序伪装成进程管理器服务,以偷偷窃取存储在受感染设备中的敏感信息。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理,该应用程序的包名为 com.remote.app ,与远程命令和控制C2服务器 82.146.35.240 建立了联系,该服务器此前被确定为属于俄罗斯Turla黑客组织的基础设施。

当应用程序运行时,会出现关于授予应用程序权限的警告,这些包括屏幕解锁尝试、锁定屏幕、设置设备全局代理、设置屏幕锁定密码到期、设置存储加密和禁用摄像头。

一旦应用程序被激活,恶意软件就会从主屏幕上移除其齿轮状图标并在后台运行,滥用其广泛的权限来访问设备的联系人和通话记录、跟踪其位置、发送和阅读消息、访问外部存储、拍照和录制音频。

研究人员用链接到Turla黑客链接的C2服务器发现新的Android间谍软件

收集到的信息以 JSON 格式存储,然后传输到上述远程服务器。尽管使用的 C2 服务器存在重叠,但安全研究人员认为,目前没有足够的证据来明确地将恶意软件归咎于 Turla 组织。

该恶意 Android 应用程序还试图下载一个名为Roz Dhan(在印地语中意为“每日财富”)的合法应用程序,该应用程序的安装量超过 1000 万,并允许用户通过完成调查和问卷获得现金奖励。

 

Android间谍APP伪装成进程管理器,疑隶属于Turla黑客组织

极牛网精选文章《Android间谍APP伪装成进程管理器,疑隶属于Turla黑客组织》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/18830.html

(30)
打赏 微信公众号 微信公众号 微信小程序 微信小程序
主编的头像主编认证作者
上一篇 2022年4月7日 上午11:15
下一篇 2022年4月9日 上午11:51

相关推荐

发表回复

登录后才能评论
扫码关注
扫码关注
分享本页
返回顶部