Trzy szkodliwe aplikacje usunięte z Google Play. Wykorzystywały znaną lukę zero-day
Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku.
Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno chwalił się zwiększeniem zabezpieczeń w swoim markecie z aplikacjami, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto.
Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play
Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już w październiku, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android.
Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam.
Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak:
- Lokalizacja
- Poziom naładowania baterii
- Pliki na urządzeniu
- Lista zainstalowanych aplikacji
- Informacje o urządzeniu
- Dane z aparatu
- Robienie zrzutów ekranu
- Dane sieci Wi-Fi
Aplikacja może zbierać także dane z aplikacji na smartfonie. Trend Micro wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome.
Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna.
O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A.
Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne.
