Нового шпиона для Android связали с деятельностью российской APT-группы

Нового шпиона для Android связали с деятельностью российской APT-группы

На ландшафте киберугроз появился ранее неизвестный вредонос для Android-устройств, который, по словам экспертов, связан с группировкой Turla. Зловред, судя по всему, использует инфраструктуру, относящуюся к деятельности знаменитой APT-группы.

На Западе Turla принято относить к операциям российских правительственных хакеров. Эта кибергруппировка известна своими атаками на европейские и американские системы. Основной интерес злоумышленников — шпионаж. Ранее исследователи связывали бэкдор Sunburst с кампаниями Turla. Напомним, что этот вредонос использовался для атаки на цепочку поставок SolarWinds (декабрь 2020 года).

Теперь специалисты компании Lab52 заподозрили связь нового Android-зловреда с Turla. На просторах Сети был найден вредоносный APK (детектирование на VirusTotal) под названием “Process Manager”, который проявлял признаки шпиона, ворующего информацию и передающего её операторам.

Исследователи пока затрудняются сказать, как именно распространяется это вредоносное приложение, однако после установки оно пытается скрыть своё присутствие в системе. Иконка вредоноса маскируется под системный компонент, чтобы пользователь не удалил его.

После первого запуска Android-шпион запрашивает у владельца мобильного устройства целых 18 разрешений, среди которых, например, доступ к камере, интернету, чтению СМС-сообщений, записи аудио, чтению и записи на внешнее хранилище, отправка СМС и т. п. При этом непонятно, использует ли вредонос специальные возможности Android Accessibility Services.

“Process Manager” собирает логи, списки контактов, текстовые сообщения, аудиозаписи, уведомления о мероприятиях и отправляет всё это в формате JSON на командный сервер (C2), расположенный по адресу 82.146.35[.]240. Несмотря на то что точный метод распространения зловреда неизвестен, можно предположить, что он доставляется через фишинговые письма или с помощью социальной инженерии. Именно эти методы в почёте у Turla.

Кроме того, команда Lab52 также выяснила, что “Process Manager” загружает дополнительный пейлоад напрямую из Google Play Store. Это довольно популярное приложение под именем “Roz Dhan: Earn Wallet cash”, насчитывающее 10 млн загрузок.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Повторный отказ заземлить ПДн россиян может стоить WhatsApp 18 млн рублей

Дело в отношении WhatsApp LLC завели в Москве накануне. Мессенджер продолжает собирать данные российских пользователей за пределами страны. Теперь компании грозит от 6 млн рублей до 18 млн рублей.

Заседание назначили на 28 июля, дело рассмотрит Таганский районный суд. Об этом сообщает портал мировых судей Москвы.

Дело возбуждено по протоколу Роскомнадзора, уточняет РИА “Новости”. Речь идет о ч.9 статьи 13.11 Кодекса об административных нарушениях — повторный отказ локализовать данные российских пользователей на территории страны.

Прошлым летом WhatsApp уже заплатил за отказ “заземлить” данные 4 млн рублей. Сейчас “вилка” штрафа — от 6 млн до 18 млн рублей.

То же самое касается музыкального сервиса Spotify и компании Snap (владелец приложения Snapchat). На них завели дела по той же статье КоАП. Каждому грозит штраф до 6 млн рублей.

WhatsApp принадлежит Meta, она признана в России экстремистской. Деятельность компании запрещена, но сам мессенджер под эмбарго не попал. Год назад WhatsApp,Twitter (заблокирована в России) и Facebook (запрещена и заблокирована) оштрафовали на общую сумму в 36 млн рублей.

По закону о персональных данных оператор должен собирать и хранить ПДн россиян на территории страны. Накануне Госдума приняла новый вариант 152-ФЗ, но это норма там остаётся.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru