La compañía de inteligencia de amenazas Lab52 ha descubierto un nuevo malware vinculado a Rusia que actúa como un software espía de Android, rastreando y robando información de los dispositivos para enviarla a un servidor localizado en Rusia.
Este malware se está distribuyendo a través de un APK malicioso llamado "Process Manager" ("administración de procesos" en español) e intenta pasar desapercibido haciéndose pasar por una herramienta de Android. "Una vez instalado, Process Manager intenta ocultarse en un dispositivo Android usando un ícono en forma de engranaje, simulando ser un componente del sistema", indica Bleeping Computer.
Según advierte este medio, Process Manager solicita al usuario una lista de hasta 18 permisos diferentes, que suponen un grave riesgo para la privacidad y que el propio malware también podría otorgarse a sí mismo explotando el servicio de accesibilidad de Androud. Estos permisos incluyen acceso a la ubicación, al registro de llamadas, a la información de los contactos, a la cámara, así como leer y enviar SMS, leer el estado del teléfono y el almacenamiento externo, pudiendo también escribir en la tarjeta de memoria, además de grabar audio desde la grabadora de voz.
Además, una vez instalado, el malware elimina su icono y se ejecuta en segundo plano para que los propietarios de los dispositivos se olviden de su presencia y pueda operar a sus anchas.
"La información recopilada por el dispositivo, incluidas listas, registros, SMS, grabaciones y notificaciones de eventos, se envía en formato JSON al servidor de comando y control en 82.146.35[.]240, que se encuentra en Rusia", afirma Bleeping Computer.
Las capacidades de Process Manager no se quedan ahí ya que el equipo de Lab52 también ha descubierto que es capaz de descargar por su cuenta otras aplicaciones adicionales. Una de ellas es "Roz Dhan: Earn Wallet cash", una popular aplicación con 10 millones de descargas que presenta un sistema para generar dinero y que aparentemente es legítima.
Process Manager podría estar respaldado por el grupo de hackers ruso Turla
La investigación de Lab52 también resalta que Process Manager utiliza la misma infraestructura de alojamiento compartido usada por el grupo de ciberdelincuentes de origen ruso Turla, aunque no es posible atribuírselo "dadas sus capacidades de amenaza".
"Turla es un grupo de piratería respaldado por el estado ruso conocido por usar malware personalizado para atacar sistemas europeos y estadounidenses, principalmente para espionaje", explica Bleeping Computer reafirmando que aún así todavía se desconoce si Process Manager está respaldado por este grupo de hackers.