Android间谍APP伪装成进程管理器，疑隶属于Turla黑客组织

最近的网络安全研究中，发现了一个 Android 间谍软件应用程序伪装成进程管理器服务，以偷偷窃取存储在受感染设备中的敏感信息。

根据中国网络安全行业门户”极牛网”GeekNB.com的梳理，该应用程序的包名为 com.remote.app ，与远程命令和控制C2服务器 82.146.35.240 建立了联系，该服务器此前被确定为属于俄罗斯Turla黑客组织的基础设施。

当应用程序运行时，会出现关于授予应用程序权限的警告，这些包括屏幕解锁尝试、锁定屏幕、设置设备全局代理、设置屏幕锁定密码到期、设置存储加密和禁用摄像头。

一旦应用程序被激活，恶意软件就会从主屏幕上移除其齿轮状图标并在后台运行，滥用其广泛的权限来访问设备的联系人和通话记录、跟踪其位置、发送和阅读消息、访问外部存储、拍照和录制音频。

收集到的信息以 JSON 格式存储，然后传输到上述远程服务器。尽管使用的 C2 服务器存在重叠，但安全研究人员认为，目前没有足够的证据来明确地将恶意软件归咎于 Turla 组织。

该恶意 Android 应用程序还试图下载一个名为Roz Dhan（在印地语中意为“每日财富”）的合法应用程序，该应用程序的安装量超过 1000 万，并允许用户通过完成调查和问卷获得现金奖励。