Специалисты Trend Micro обнаружили в официальном магазине приложений для Android сразу три приложения (Camero, FileCrypt Manager и callCam), связанные с группировкой Sidewinder, специализирующейся на кибершпионских атаках.

По словам специалистов,  эти приложения использовали критическую уязвимость CVE-2019-2215 по крайней мере с марта 2019 года. То есть за семь месяцев до того, как эта проблема была впервые обнаружена ИБ-специалистами. Напомню, что данная уязвимость представляет собой локальное повышение привилегий и может помочь злоумышленнику получить root-доступ к целевому устройству.  Также баг может использоваться удаленно в сочетании с другими багами.

По информации Trend Micro, приложения FileCrypt Manager и Camero выступают в роли дропперов, то есть подключаются к удаленному серверу злоумышленников для загрузки файла DEX, который затем загружает приложение callCam и пытается установить его, используя уязвимости для повышения привилегий или злоупотребляя Accessibility Service. Помимо CVE-2019-2215, вредоносные приложения также пытаются эксплуатировать уязвимость в драйвере MediaTek-SU для получения root-привилегий и стараясь закрепиться в системе.

Атака происходит без вмешательства пользователя и его ведома. Чтобы избежать обнаружения, преступники использовали обфускацию, шифрование данных и так далее.

После установки приложение callCam скрывает свой значок от пользователя, собирает и похищает следующую информацию с взломанного устройства, затем передавая ее на управляющий сервер:

  • данные о местоположении;
  • данные об уровне заряда батареи;
  • информация о файлах на устройстве;
  • список установленных приложений;
  • информация об устройстве;
  • информация о сенсорах;
  • информация о камере;
  • снимки экрана;
  • информация об учетной записи;
  • информация о Wi-Fi;
  • данные из WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и

Основываясь на информации об управляющих серверах малвари, исследователи приписали эту вредоносную кампанию шпионской группировке Sidewinder, которая считается индийской и обычно атакует организации, связанные с пакистанскими военными.

В настоящее время все три приложения уже удалены из Google Play.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии