Il nuovo spyware di Turla registra l’audio e tiene traccia della posizione

Gli specialisti di Lab52 sono stati in grado di collegare  un malware precedentemente sconosciuto per dispositivi Android con il famigerato gruppo di hacker Turla. 

I ricercatori hanno scoperto che l’applicazione utilizza l’infrastruttura precedentemente associata al gruppo.

Gli esperti hanno identificato un APK Process Manager dannoso che svolge il ruolo di spyware per i dispositivi Android che invia i dati verso l’infrastruttura controllata dai criminali informatici.

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Come si verifica l’infezione non è ancora chiaro. Di norma, Turla distribuisce i suoi strumenti dannosi utilizzando attacchi di phishing, social engineering, watering-hole (infezione da malware attraverso siti compromessi visitati dalla vittima) e molto altro ancora.

Una volta installato, Process Manager tenta di nascondere la sua presenza sul dispositivo con un’icona a forma di ingranaggio, fingendosi un componente di sistema.

Dopo il primo avvio, l’applicazione ottiene 18 autorizzazioni:

• Accesso ai dati sulla posizione;
• Accesso allo stato della rete;
• Accesso allo stato Wi-Fi;
• Accesso alla telecamera;
• Accesso ad Internet;
• Autorizzazione a modificare le impostazioni audio;
• Autorizzazione a leggere i registri delle chiamate;
• Permesso di leggere elenchi di contatti;
• Permesso di leggere i dati in archivi esterni;
• Autorizzazione a scrivere dati su una memoria esterna;
• Permesso di leggere lo stato del telefono;
• Permesso di leggere i messaggi SMS;
• Permesso di registrare l’audio;
• Autorizzazione all’invio di SMS, ecc.

Non è ancora chiaro se il malware utilizzi il servizio di Accessibilità Android per ottenere i permessi o se li chieda direttamente all’utente.

Una volta concesse le autorizzazioni, lo spyware rimuove la sua icona e viene eseguito in background. Tuttavia, la sua presenza è segnalata da una notifica costante, cosa non tipica negli spyware, il cui compito principale è nascondere la propria presenza sul dispositivo.

Durante l’analisi del malware, il team di Lab52 ha anche scoperto che scarica payload aggiuntivi sul dispositivo e, in un caso, l’applicazione è stata persino scaricata direttamente dal Play Store.

L’app si chiama Roz Dhan: Earn Wallet cash (10 milioni di download) e ha un sistema di referral per generare denaro.

Sembra che il malware carichi l’APK attraverso il sistema di riferimento dell’app per guadagnare commissioni. Questo è molto strano, dal momento che Turla è specializzata in spionaggio informatico.

Questo fatto, così come l’implementazione relativamente semplice del malware, suggerisce che il server C&C analizzato dai ricercatori fa parte dell’infrastruttura utilizzata da diversi gruppi.

Ti è piaciutno questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.