Gli esperti di Lab52, una divisione di una società di sicurezza informatica spagnola di fama mondiale, S2 Grupo, hanno scoperto una nuova minaccia alla privacy degli utenti Android. Un malware russo chiamato “Process Manager” è stato descritto in dettaglio in un rapporto pubblicato lo scorso venerdì 1 aprile dalla società.
Secondo l’analisi degli esperti, il malware si presenta sotto forma di APK, un pacchetto di installazione di applicazioni Android. L’applicazione ha un’icona “ingranaggio” che ricorda gli strumenti del sistema operativo stesso.
Quando viene eseguita per la prima volta, l’app richiede 18 autorizzazioni di accesso utente, tra cui: stato della connessione di rete, telecamera, posizione, messaggi SMS, microfono, utilizzo in primo piano e dati memorizzati del sistema. Concedere l’accesso a tutte queste funzionalità, di per sé, è un grave rischio per la privacy e può causare seri danni.
Dopo aver ricevuto tutte le autorizzazioni, l’icona dell’applicazione scompare e viene visualizzata solo una notifica permanente, a indicare che il software è in esecuzione in background, una caratteristica insolita per uno spyware, poiché tendono a mantenere la massima segretezza mentre rubano dati e spiano l’utente.
Tutte le informazioni raccolte dall’applicazione vengono inviate in formato JSON (JavaScript Object Notation), utilizzato per i trasferimenti di dati strutturati tra un server e un’applicazione Web, a un server situato in Russia.
Process Manager ha anche una riga di codice che tenta di installare un’app chiamata “Roz Dhan” disponibile su Google Play Store. Questa applicazione viene sfruttata dal gruppo di hacker per generare profitti, possibilmente tramite commissioni, in piena autonomia utilizzando lo smartphone della vittima.
Gli esperti notano che questo malware non è molto “sofisticato” e presenta diverse scappatoie che possono essere facilmente aggirate, quindi non vi è alcun sospetto che gli autori facciano parte di un gruppo di hacker come Turla, anch’esso con sede in Russia.
Sebbene non sia ancora chiaro come si diffonda il malware, si consiglia di controllare le autorizzazioni delle app sospette installate sullo smartphone. Android 12 semplifica questo monitoraggio visualizzando un indicatore che la fotocamera o il microfono sono accesi, anche quando l’utente non li sta utilizzando.
