Process Manager es el nombre de un nuevo malware que es capaz de robar datos, así como grabar audio y rastrear la ubicación, mientras trabaja en segundo plano en dispositivos con sistema operativo Android.
La firma de inteligencia de amenazas Lab52 ha identificado este agente malicioso, que utiliza la misma infraestructura de alojamiento compartido utilizada por un grupo de ciberdelincuentes de origen ruso llamado Turla.
Por el momento, se desconoce si Process Manager está respaldado por Turla o si tiene alguna conexión o relación directa con esta campaña, también conocida como Snake o Uroburos.
Este software, que también es de origen ruso, llega a los dispositivos a través de un archivo APK malicioso que funciona como ‘spyware’ en Android y roba datos en un segundo plano, sin el conocimiento de los usuarios.
Según han determinado los investigadores, una vez instalada la aplicación, se coloca en el menú de aplicaciones y muestra un icono de un engranaje, que los usuarios pueden llegar a confundir con el menú de Configuración.
Además, cuando se ejcuta por primera vez en el dispositivo, exige un total de 18 permisos para acceder a la ubicación del teléfono, al bloqueo y desbloqueo de pantalla, a la información de las redes WiFi o a los sensores de la cámara incorporados en el terminal.
LEE TAMBIÉN: LAPSUS$ continúa activo y se atribuye el robo de datos de la empresa de ‘software’ Globant
Otros de los permisos que solicita esta aplicación son el acceso a las llamadas telefónicas o l información de los contactos y puede iniciar la aplicación cuando el dispositivo está encendido, enviar SMS, escribir en la tarjeta de memoria o leer dispositivos de almacenamiento externo.
Una vez se haya abierto la aplicación por primera vez, se elimina su icono del menú de aplicaciones y se ejecuta en un segundo plano, ya que aparece en la barra de notificaciones.
De ese modo, además de robar información confidencial, es capaz de hacer fotos o vídeos, así como grabar audio desde la grabadora de voz que habitualmente viene preinstalada en estos móviles.
LEE TAMBIÉN: Microsoft confirma que LAPSUS$ accedió a una de sus cuentas y robo código fuente de Bing, Bing Maps y Cortana
En este caso, la aplicación consigue extraer estas grabaciones en formato mp3 en el directorio del caché y, junto con el resto de datos, los envía en formato JSON a un servidor localizado en Rusia.
Por el momento, se desconoce de dónde procede este malware, pero los investigadores han encontrado indicios en otra aplicación llamada Ro Dhan: Earn Wallet Cash, que hasta ahora estaba disponible en Google Play.
TE PUEDE INTERESAR
- LAPSUS$ continúa activo y se atribuye el robo de datos de la empresa de ‘software’ Globant
- Microsoft confirma que LAPSUS$ accedió a una de sus cuentas y robo código fuente de Bing, Bing Maps y Cortana
- Google recompensa con más de US$8 millones a investigadores que participaron en su programa de vulnerabilidades
- Epic Games presenta RealityScan, una app que convierte objetos en modelados 3D
- ¿Cómo limpiar mi computadora por dentro y por fuera sin arruinarla?
Contenido Sugerido
Contenido GEC