Trzy szkodliwe aplikacje usunięte z Google Play

[Skasowany użytkownik 6404]

Trzy szkodliwe aplikacje usunięte z Google Play. Wykorzystywały znaną lukę zero-day
Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku.



Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno

Zaloguj lub Zarejestruj się aby zobaczyć!

, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto.

Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play

Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już

Zaloguj lub Zarejestruj się aby zobaczyć!

, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android.
Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam.

Trend Micro

Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak:

• Lokalizacja
• Poziom naładowania baterii
• Pliki na urządzeniu
• Lista zainstalowanych aplikacji
• Informacje o urządzeniu
• Dane z aparatu
• Robienie zrzutów ekranu
• Dane sieci Wi-Fi

Aplikacja może zbierać także dane z aplikacji na smartfonie.

Zaloguj lub Zarejestruj się aby zobaczyć!

wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome.
Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna.

O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A.

Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne.

Zrodlo: dobreprogramy.pl

Zaloguj lub Zarejestruj się aby zobaczyć!