Специалисты Trend Micro обнаружили в официальном магазине приложений для Android сразу три приложения (Camero, FileCrypt Manager и callCam), связанные с группировкой Sidewinder, специализирующейся на кибершпионских атаках.
По словам специалистов, эти приложения использовали критическую уязвимость CVE-2019-2215 по крайней мере с марта 2019 года. То есть за семь месяцев до того, как эта проблема была впервые обнаружена ИБ-специалистами. Напомню, что данная уязвимость представляет собой локальное повышение привилегий и может помочь злоумышленнику получить root-доступ к целевому устройству. Также баг может использоваться удаленно в сочетании с другими багами.
По информации Trend Micro, приложения FileCrypt Manager и Camero выступают в роли дропперов, то есть подключаются к удаленному серверу злоумышленников для загрузки файла DEX, который затем загружает приложение callCam и пытается установить его, используя уязвимости для повышения привилегий или злоупотребляя Accessibility Service. Помимо CVE-2019-2215, вредоносные приложения также пытаются эксплуатировать уязвимость в драйвере MediaTek-SU для получения root-привилегий и стараясь закрепиться в системе.
Атака происходит без вмешательства пользователя и его ведома. Чтобы избежать обнаружения, преступники использовали обфускацию, шифрование данных и так далее.
После установки приложение callCam скрывает свой значок от пользователя, собирает и похищает следующую информацию с взломанного устройства, затем передавая ее на управляющий сервер:
- данные о местоположении;
- данные об уровне заряда батареи;
- информация о файлах на устройстве;
- список установленных приложений;
- информация об устройстве;
- информация о сенсорах;
- информация о камере;
- снимки экрана;
- информация об учетной записи;
- информация о Wi-Fi;
- данные из WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и
Основываясь на информации об управляющих серверах малвари, исследователи приписали эту вредоносную кампанию шпионской группировке Sidewinder, которая считается индийской и обычно атакует организации, связанные с пакистанскими военными.
В настоящее время все три приложения уже удалены из Google Play.