Descubren nuevo spyware de Android con servidor C2 vinculado a Turla Hackers

Se detectó una aplicación de software espía de Android que se hace pasar por un servicio de "Administrador de procesos" para desviar sigilosamente información confidencial almacenada en los dispositivos infectados.

Curiosamente, la aplicación, que tiene el nombre de paquete " No tienes permitido ver los links. Registrarse o Entrar a mi cuenta ", establece contacto con un servidor de comando y control remoto, 82.146.35[.]240, que se identificó previamente como una infraestructura perteneciente a Rusia. grupo de piratería conocido como Turla .

"Cuando se ejecuta la aplicación, aparece una advertencia sobre los permisos otorgados a la aplicación", dijeron los investigadores de Lab52 . "Estos incluyen intentos de desbloqueo de pantalla, bloqueo de pantalla, configuración del proxy global del dispositivo, configuración de vencimiento de contraseña de bloqueo de pantalla, configuración de cifrado de almacenamiento y desactivación de cámaras".

Una vez que la aplicación está "activada", el malware elimina su icono con forma de engranaje de la pantalla de inicio y se ejecuta en segundo plano, abusando de sus amplios permisos para acceder a los contactos y registros de llamadas del dispositivo, rastrear su ubicación, enviar y leer mensajes, acceder a almacenamiento, tomar fotografías y grabar audio.


La información recopilada es capturada en formato JSON y posteriormente transmitida al mencionado servidor remoto. A pesar de la superposición en el servidor C2 utilizado, Lab52 dijo que no tiene pruebas suficientes para atribuir el malware al grupo Turla.

También se desconoce en esta etapa el vector de acceso inicial exacto empleado para distribuir el spyware y los objetivos previstos de la campaña.

Dicho esto, la aplicación maliciosa de Android también intenta descargar una aplicación legítima llamada Roz Dhan (que significa "Riqueza diaria" en hindi) que tiene más de 10 millones de instalaciones y permite a los usuarios obtener recompensas en efectivo por completar encuestas y cuestionarios.

"La aplicación, [que] está en Google Play y se usa para ganar dinero, tiene un sistema de referencia que es abusado por el malware", dijeron los investigadores. "El atacante lo instala en el dispositivo y obtiene una ganancia".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta