Еще три вредоносных приложения удалены из Google Play

echo-3-vred-pril-ud-iz-gogl-play.jpg

Три опасных приложения исчезли из Play Store. Camero, FileCrypt и callCam - это вредоносные программы, использующие те же уязвимости, что и программа Pegasus созданная израильской группой NSO. Приложения были доступны в магазине Play Store как минимум с марта 2019 года.

И хотя Google недавно похвастался повышением уровня безопасности в своем магазине приложений, новые вредоносные приложения все равно будут в него попадать, а многие еще не обнаружены.

Три приложения, удаленные из Play Store, использовали уязвимость CVE-2019-2215, обнаруженную Мэдди Стоун из Google Project Zero. Описанная проблема находится в самом сердце системы, в ядре Android.

Уязвимость была обнаружена в определенной версии драйвера Binder, отвечающего за связь между процессами. Это позволяет выполнять так называемую процедуру use-after-free, которая разрешает тайно рутировать устройство с помощью FileCrypt Manager и Camero действующих как начальное число. Они загружают исполнительный файл в формате DEX, задачей которого является установка callCam.

Конечно, пользователю ничего не замечает, в этом вся хитрость, поэтому роль двух приложений заключалась в установке третьего. CallCam скрывает совой значок после установки и начинает сбор данных, отправляемые на серверы злоумышленника. И приложение может отправлять практически все, включая информацию, такую как: место, уровень заряда батареи, файлы на устройстве, список установленных приложений, информация об устройстве, данные камеры, данные сети Wi-Fi, и даже сделанные скриншоты. Приложение также может собирать данные из приложений смартфона. Например, таких, как WeChat, Outlook, Twitter, Facebook, Gmail и Chrome.

Уязвимость обнаружена в версиях ядра Android, выпущенных до апреля 2019 года. Многие новые смартфоны все еще будут уязвимы. Конечно, если они не обновляются сразу после запуска. Патч доступен уже давно.

Неясно, кто стоит за атакой. Тем не менее, основываясь на расположении серверов сбора данных, эксперты из Trend Micro пришли к выводу, что подсказки, скорее всего, ведут к индийской группе SideWinder. Она известен своими ранними нападениями на вооруженные силы Пакистана.

Добавить комментарий