Новости В Google Play нашли сразу три приложения, связанные с хак-группой Sidewinder

[GLOV]

Специалисты Trend Micro обнаружили в официальном магазине приложений для Android сразу три приложения (Camero, FileCrypt Manager и callCam), связанные с группировкой Sidewinder, специализирующейся на кибершпионских атаках.

По словам специалистов, эти приложения использовали критическую уязвимость CVE-2019-2215 по крайней мере с марта 2019 года. То есть за семь месяцев до того, как эта проблема была впервые обнаружена ИБ-специалистами. Напомню, что данная уязвимость представляет собой локальное повышение привилегий и может помочь злоумышленнику получить root-доступ к целевому устройству. Также баг может использоваться удаленно в сочетании с другими багами.


По информации Trend Micro, приложения FileCrypt Manager и Camero выступают в роли дропперов, то есть подключаются к удаленному серверу злоумышленников для загрузки файла DEX, который затем загружает приложение callCam и пытается установить его, используя уязвимости для повышения привилегий или злоупотребляя Accessibility Service. Помимо CVE-2019-2215, вредоносные приложения также пытаются эксплуатировать уязвимость в драйвере MediaTek-SU для получения root-привилегий и стараясь закрепиться в системе.

Для просмотра ссылки необходимо нажать Вход или Регистрация

Атака происходит без вмешательства пользователя и его ведома. Чтобы избежать обнаружения, преступники использовали обфускацию, шифрование данных и так далее.

После установки приложение callCam скрывает свой значок от пользователя, собирает и похищает следующую информацию с взломанного устройства, затем передавая ее на управляющий сервер:

• данные о местоположении;
• данные об уровне заряда батареи;
• информация о файлах на устройстве;
• список установленных приложений;
• информация об устройстве;
• информация о сенсорах;
• информация о камере;
• снимки экрана;
• информация об учетной записи;
• информация о Wi-Fi;
• данные из WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и

Основываясь на информации об управляющих серверах малвари, исследователи приписали эту вредоносную кампанию шпионской группировке Sidewinder, которая считается индийской и обычно атакует организации, связанные с пакистанскими военными.

В настоящее время все три приложения уже удалены из Google Play.

 

[Филин]

Согласно опубликованному компанией Google отчёту, начиная с 2017 года по настоящее время специалисты в общей сложности обнаружили около 1700 приложений, инфицированных вредоносом Joker (он же Bread). Как минимум одно такое семейство малвари были замечено специалистами CSIS Security Group и проникло в Google Play: 24 вредоносных приложения были загружены более 472 000 раз в сентябре 2019 года.
Эксперты Google рассказывают, что в разное время они наблюдали три и более активных варианта малвари, использующих различные подходы и нацеленные на разные устройства. Но порой случались и пиковые периоды, когда в течение одного дня активность проявляли до 23 различных приложений. Зачастую это были просто клоны различных популярных приложений из каталога Google Play.
Изначально малварь была разработана для осуществления SMS-мошенничества, но с тех пор многое изменилось, особенно после введения новой политики, ограничивающей использование SEND_SMS, а также повышения активности защиты Google Play Protect. Из-за этого новые версии Joker используют другой вид мошенничества: обманом заставляют своих жертв подписываться на различные виды контента или покупать его, оплачивая со счета мобильного телефона. Чтобы осуществлять это без взаимодействия с пользователем, операторы малвари используют инъекции кликов, кастомные HTML-парсеры и SMS-ресиверы.
Эксперты отмечают, что многие образцы Joker, похоже, были созданы специально ради попыток незаметно проникнуть в каталог Google Play и более нигде замечены не были.