Trzy szkodliwe aplikacje usunięte z Google Play. Wykorzystywały znaną lukę zero-day

Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku.

Kolejne zagrożenie kryło się wśród aplikacji dostępnych w Google Play, fot. Oskar Ziomek
Kolejne zagrożenie kryło się wśród aplikacji dostępnych w Google Play, fot. Oskar Ziomek
Arkadiusz Stando

08.01.2020 11:54

Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno chwalił się zwiększeniem zabezpieczeń w swoim markecie z aplikacjami, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto.

Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play

Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już w październiku, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android.

Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam.

Trend Micro
Trend Micro

Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak:

  • Lokalizacja
  • Poziom naładowania baterii
  • Pliki na urządzeniu
  • Lista zainstalowanych aplikacji
  • Informacje o urządzeniu
  • Dane z aparatu
  • Robienie zrzutów ekranu
  • Dane sieci Wi-Fi

Aplikacja może zbierać także dane z aplikacji na smartfonie. Trend Micro wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome.

Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna.

O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A.

Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (34)