‎Google Play商店‎里发现了三个和印度间谍组织有关的恶意应用

‎趋势科技的研究小组在谷歌Play商店‎里发现了三个恶意应用程序,这些恶意应用利用了Android内核的严重漏洞。‎

‎callCam、Camero和FileCrypt三个应用程序主要是与摄影工具相关的程序,这些程序使用的是已被归类为‎‎CVE-2019-2215‎‎的活页夹漏洞。它是一种每个手机系统都在使用的进程间通信方法。

sidewinder-apt-google-play-store-malware

‎零项目的麦迪·斯通在去年10月首次发现了这个漏洞。这是一个本地特权相关漏洞,利用该漏洞,任何易受攻击的设备都可能获得完全root权限。如果与其他浏览器漏洞相结合使用,就可以远程利用此漏洞。‎

根据趋势科技研究人员的说法,这个Android漏洞自3月份以来一直在使用,大约7个月前,它被报告为‎‎以色列NSO集团‎‎开发的‎‎零日漏洞‎‎。据研究人员称,这些应用程序自同一时间以来也一直很活跃。‎

‎这三个应用程序已被从‎‎Play商店‎‎中删除,研究人员认为,印度间谍组织SideWinderAPT负责分发这些应用程序。卡巴斯基实验室认为,正是这个组织‎‎将目标对准巴基斯坦的军事基础设施‎‎。‎

趋势科技发现,Camero和FileCrypt应用程序会连接到远程C&C服务器的注入程序。 这些应用程序负责下载callCam应用的DEX文件,并利用漏洞升级权限或滥用辅助功能来安装该应用程序。

‎一旦callCam应用被安装以后,它会从桌面隐藏应用图标,并在后台工作以收集存储在设备上的数据,这些数据包括:‎

  • 保存的文件‎
  • 电池‎‎状态‎
  • 已安装的‎‎应用
  • 设备位置‎‎
  • 截屏
  • 设备信息
  • 相机和传感器相关信息
  • 从Twitter,Facebook和微信等社交应用收集数据
  • WiFi账户信息
  • Gmail,Yahoo Mail,Outlook,Chrome账户信息

‎正如在大多数此类恶意应用一样,一切都在发生时没有通知用户。这些应用使用各种技术来逃避检测,包括”混淆、数据加密和调用动态代码”。‎

‎此外,为了获得根特权和‎‎感染更多的Android手机‎‎,恶意应用还利用联发科芯片的MediaTek-SU驱动程序漏洞。


‎虽然恶意应用从 Play 应用商店中删除,但不能保证没有其他此类应用。因此,您需要非常仔细地下载应用程序。您可以通过访问 Android 手机上的”设置”菜单来检查您的设备是否受到感染。转到”设置”>应用管理器,并在显示的列表中找到应用,请卸载这些应用。‎