العثور على برامج تجسس جديدة على نظام الاندرويد. تم رصد أحد تطبيقات برامج التجسس على نظام Android وهو يتنكر في شكل خدمة “مدير العمليات” لسحب المعلومات الحساسة المخزنة في الأجهزة المصابة خلسة.
ومن المثير للاهتمام أن التطبيق – الذي يحمل اسم الحزمة “com.remote.app” – ينشئ اتصالاً بخادم الأوامر والتحكم عن بُعد. 82.146.35 [.] 240 ، والذي تم تحديده سابقًا على أنه بنية تحتية تابعة لروسيا- مجموعة قرصنة مقرها معروفة باسم تورلا.
قال باحثو Lab52: “عند تشغيل التطبيق. يظهر تحذير بشأن الأذونات الممنوحة للتطبيق”. “يتضمن ذلك محاولات إلغاء قفل الشاشة. وقفل الشاشة. وتعيين الوكيل العام للجهاز. يمكن تعيين انتهاء صلاحية كلمة مرور قفل الشاشة. وتعيين تشفير التخزين وتعطيل الكاميرات.”
بينما بمجرد “تنشيط” التطبيق. يزيل البرنامج الضار رمز الترس الخاص به من الشاشة الرئيسية ويعمل في الخلفية. مما يسيء استخدام أذوناته الواسعة للوصول إلى جهات اتصال الجهاز وسجلات المكالمات. وتتبع موقعه. وإرسال الرسائل وقراءتها . كما يمكنه الوصول إلى الخارج التخزين والتقاط الصور وتسجيل الصوت.
على سبيل المثال يتم التقاط المعلومات التي تم جمعها بتنسيق JSON وإرسالها لاحقًا إلى الخادم البعيد المذكور أعلاه. على الرغم من التداخل في خادم C2 المستخدم. قال Lab52 إنه لا يحتوي على أدلة كافية لإسناد البرامج الضارة بشكل قاطع إلى مجموعة Turla.
ومن غير المعروف أيضًا في هذه المرحلة ناقل الوصول الأولي الدقيق المستخدم لتوزيع برامج التجسس والأهداف المقصودة للحملة.
ومع ذلك يحاول تطبيق Android الخادع أيضًا تنزيل تطبيق شرعي يسمى Roz Dhan (يعني “Daily Wealth” باللغة الهندية) يحتوي على أكثر من 10 ملايين عملية تثبيت ويسمح للمستخدمين بربح مكافآت نقدية لاستكمال الاستبيانات والاستبيانات.
كما قال الباحثون: “التطبيق [الموجود] على Google Play والمستخدم لكسب المال. به نظام إحالة يسيء استخدامه البرمجيات الخبيثة”. يقوم المهاجم بتثبيته على الجهاز ويحقق ربحًا.
اذا وجدت هذه المقالة مثيرة للاهتمام؟ تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.