सुरक्षा शोधकर्ताओं की एक टीम द्वारा एक नए एंड्रॉइड मैलवेयर का पता लगाया गया है और विस्तृत किया गया है जो डिवाइस में लगाए जाने के बाद ऑडियो और ट्रैक स्थान रिकॉर्ड करता है। मैलवेयर उसी साझा-होस्टिंग बुनियादी ढांचे का उपयोग करता है जिसे पहले रूसी हैकर्स की एक टीम द्वारा उपयोग किया जाता था जिसे टर्ला के नाम से जाना जाता था। हालाँकि, यह स्पष्ट नहीं है कि रूसी राज्य समर्थित समूह का नए खोजे गए मैलवेयर से सीधा संबंध है या नहीं। यह एक दुर्भावनापूर्ण एपीके फ़ाइल के माध्यम से पहुंचता है जो एंड्रॉइड स्पाइवेयर के रूप में काम करता है और उपयोगकर्ताओं को कोई स्पष्ट संदर्भ दिए बिना पृष्ठभूमि में क्रियाएं करता है।

ख़तरनाक ख़ुफ़िया फर्म लैब52 के शोधकर्ताओं ने एंड्रॉइड मालवेयर की पहचान की है जिसका नाम प्रोसेस मैनेजर है। एक बार इंस्टॉल हो जाने पर, यह डिवाइस के ऐप ड्रॉअर पर गियर के आकार के आइकन के रूप में दिखाई देता है – प्रीलोडेड सिस्टम सेवा के रूप में प्रच्छन्न।

शोधकर्ताओं ने पाया कि डिवाइस पर पहली बार चलाने पर ऐप कुल 18 अनुमति मांगता है। इन अनुमतियों में फोन स्थान तक पहुंच, वाई-फाई की जानकारी, इनबिल्ट कैमरा सेंसर से तस्वीरें और वीडियो लेना और ऑडियो रिकॉर्ड करने के लिए वॉयस रिकॉर्डर शामिल हैं।

यह स्पष्ट नहीं है कि ऐप को एंड्रॉइड एक्सेसिबिलिटी सेवा का दुरुपयोग करके या उपयोगकर्ताओं को उनकी पहुंच प्रदान करने के लिए धोखा देकर अनुमति प्राप्त होती है या नहीं।

हालाँकि, दुर्भावनापूर्ण ऐप के पहली बार चलने के बाद, ऐप ड्रॉअर से उसका आइकन हटा दिया जाता है। हालाँकि, ऐप अभी भी बैकग्राउंड में चलता है, इसकी सक्रिय स्थिति नोटिफिकेशन बार में उपलब्ध है।

शोधकर्ताओं ने देखा कि ऐप कार्यों की सूची को निष्पादित करने के लिए प्राप्त अनुमतियों के आधार पर डिवाइस को कॉन्फ़िगर करता है। इनमें उस फोन के बारे में विवरण शामिल है जिस पर इसे स्थापित किया गया है और साथ ही ऑडियो रिकॉर्ड करने और वाई-फाई सेटिंग्स और संपर्कों सहित जानकारी एकत्र करने की क्षमता भी शामिल है।

विशेष रूप से ऑडियो रिकॉर्डिंग भाग पर, शोधकर्ताओं ने पाया कि ऐप डिवाइस से ऑडियो रिकॉर्ड करता है और इसे कैशे डायरेक्टरी में एमपी 3 प्रारूप में निकालता है।

मैलवेयर सभी डेटा एकत्र करता है और इसे JSON प्रारूप में रूस में स्थित सर्वर पर भेजता है।

हालांकि मैलवेयर किस स्रोत से डिवाइस तक पहुंचता है, यह अज्ञात है, शोधकर्ताओं ने पाया कि इसके निर्माताओं ने रोज़ धन: अर्न वॉलेट कैश नामक ऐप के रेफ़रल सिस्टम का दुरुपयोग किया है जो Google Play पर डाउनलोड के लिए उपलब्ध है और इसके 10 मिलियन से अधिक डाउनलोड हैं। कहा जाता है कि मैलवेयर वैध ऐप डाउनलोड करता है जो अंततः हमलावरों को इसे डिवाइस पर इंस्टॉल करने में मदद करता है और इसके रेफरल सिस्टम से लाभ कमाता है।

स्पाइवेयर के लिए यह अपेक्षाकृत असामान्य लगता है क्योंकि ऐसा लगता है कि हमलावर साइबर जासूसी पर केंद्रित हैं। जैसा कि ब्लीपिंग कंप्यूटर नोट करता है, अपने रेफरल सिस्टम से कमीशन कमाने के लिए ऐप डाउनलोड करने का अजीब व्यवहार बताता है कि मैलवेयर एक बड़े सिस्टम का हिस्सा हो सकता है जिसे अभी खोजा जाना बाकी है।

उस ने कहा, एंड्रॉइड उपयोगकर्ताओं को अपने उपकरणों पर किसी भी अज्ञात या संदिग्ध ऐप को इंस्टॉल करने से बचने की सलाह दी जाती है। उपयोगकर्ताओं को अपने हार्डवेयर तक तीसरे पक्ष की पहुंच को सीमित करने के लिए उनके द्वारा दी जाने वाली ऐप अनुमतियों की भी समीक्षा करनी चाहिए।