У Google Play знайшли відразу три додатки, пов'язані з хак-групою Sidewinder

У Google Play знайшли відразу три додатки, пов'язані з хак-групою Sidewinder

    Фахівці Trend Micro виявили в офіційному магазині додатків для Android відразу три додатки (Camero, FileCrypt Manager і callCam), пов'язані з угрупованням Sidewinder, що спеціалізується на кібератаках.

   За словами фахівців, ці додатки використовували критичну уразливість CVE-2019-2215 принаймні з березня 2019 року. Тобто за сім місяців до того, як ця проблема була вперше виявлена ІБ-фахівцями. Нагадаю, що дана уразливість являє собою локальне підвищення привілеїв і може допомогти зловмисникові отримати root-доступ до цільового пристрою. Також баг може використовуватися віддалено в поєднанні з іншими багами.

   За інформацією Trend Micro, додатки FileCrypt Manager і Camero виступають в ролі дроппера, тобто підключаються до віддаленого сервера зловмисників для завантаження файлу DEX, який потім завантажує додаток callCam і намагається встановити його, використовуючи вразливості для підвищення привілеїв чи зловживаючи Accessibility Service. Крім CVE-2019-2215, шкідливі програми також намагаються експлуатувати уразливість в драйвері MediaTek-SU для отримання root-привілеїв і намагаючись закріпитися в системі.

Атака відбувається без втручання користувача і його відома. Щоб уникнути виявлення, злочинці використовували обфускацію, шифрування даних і так далі.

Після установки додаток callCam приховує свій значок від користувача, збирає і викрадає наступну інформацію з зламаного телефону, а потім передє її на керуючий сервер:

дані про місцезнаходження;

дані про рівень заряду батареї;

інформація про файли на пристрої;

список встановлених додатків;

інформація про пристрій;

інформація про сенсори;

інформація про камери;

знімки екрану;

інформація про обліковий запис;

інформація про Wi-Fi;

дані з WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail 

Грунтуючись на інформації про керуючі сервери малварі, дослідники приписали цю шкідливу кампанію угрупованню Sidewinder, яке вважається індійським і зазвичай атакує організації, пов'язані з пакистанськими військовими.

В даний час всі три додатки вже вилучені з Google Play.

23:47
RSS
Немає коментарів. Ваш буде першим!
Завантаження...
|