Especialistas do Lab52, divisão de uma empresa de cibersegurança espanhola mundialmente renomada, a S2 Grupo, descobriram uma nova ameaça à privacidade dos usuários do Android. Um malware russo chamado de “Process Manager” foi detalhado em um relatório publicado na última sexta-feira (1º) pela companhia.

Segundo com a análise dos especialistas, o malware se apresenta em forma de APK — pacote de instalação de aplicativos do Android. O aplicativo possui um ícone de “engrenagem” que se assemelha às ferramentas do próprio sistema operacional. Veja abaixo:

Ao ser executado pela primeira vez, o aplicativo solicita 18 permissões de acesso ao usuário, incluindo: status de conexão de rede, câmera, localização, mensagens SMS, microfone, uso em primeiro plano e dados armazenados no sistema. Conceder acesso a todos esses recursos, por si, é um grande risco à privacidade e pode causar sérios prejuízos.

Após receber todas as permissões, o ícone do aplicativo desaparece e somente uma notificação permanente é exibida, indicando que o software está executando em segundo plano — característica incomum para um spyware, visto que costumam manter o máximo de sigilo enquanto roubam dados e espionam o usuário.

Todas as informações coletadas pelo aplicativo são enviadas em formato JSON (JavaScript Object Notation) — utilizado para transferências de dados estruturados entre um servidor e uma aplicação web — para um servidor localizado na Rússia.

O Process Manager também possui uma linha de código que tenta instalar um aplicativo chamado “Roz Dhan” disponível na Google Play Store. Essa aplicação é explorada pelo grupo hacker para gerar lucros — possivelmente através de comissões — de forma totalmente autônoma utilizando o smartphone da vítima.

Os especialistas observam que esse malware não é muito “sofisticado” e tem várias brechas que podem ser facilmente contornadas, portanto, não há suspeitas de que os autores sejam parte de um grupo hacker como o Turla, também baseado na Rússia.

Embora ainda não esteja clara a forma em que o malware se espalha, é recomendado que apps suspeitos instalados no smartphone tenham suas permissões revisadas. O Android 12 torna esse monitoramento mais simples ao exibir um indicador de que a câmera ou microfone estão ativados, mesmo quando o usuário não estiver os utilizando.