Исследователи обнаружили в магазине приложений Google очередную порцию вредоносных программ. Одна из них применяет серьёзную уязвимость Android, которая позволяет делать снимки экрана и собирать другую пользовательскую информацию.

Эксплоит под номером CVE-2019-2215 был обнаружен в минувшем октябре в рамках проекта Google Zero, сообщили специалисты из компании Trend Micro в понедельник. Уязвимость вида use-after-free позволяет злоумышленникам легко получать рут-права на смартфонах Pixel 1 и Pixel 2, а также других Android-смартфонах. В октябре Google закрыла уязвимость после того, как исследователь из проекта Zero рассказал, что она активно применяется разработчиком этого эксплоита NSO Group или же клиентами данной компании. Все три приложения были убраны из магазина.

Приложение под названием Camero подключается к командному серверу, который связан с хакерской группой SideWinder. Дальше программа скачивает код для атаки, которые задействует уязвимость CVE-2019-2215 или же отдельный эксплоит в драйвере MediaTek-SU. Устанавливается шпионская программа под названием callCam. Она способна собирать следующие сведения:

• Местоположение
• Статус батареи
• Файлы на устройстве
• Список установленных приложений
• Информацию об устройстве
• Информацию с сенсоров
• Информацию с камер
• Снимки экрана
• Информацию об аккаунтах
• Информацию о Wi-Fi
• Данные из приложений WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, Chrome

Чтобы избежать обнаружения, после установки callCam прячет свою иконку подальше от глаз пользователя. Также используется сложная криптографическая программа для шифрования украденных данных, прежде чем они будут отправлены на серверы злоумышленников. callCam была доступна в магазине в виде отдельной программы для видеозвонков. Третье приложение называется FileCrypt Manager. Оно устанавливает callCam за счёт нарушения прав доступа Android.

Сертификат в одном из приложений наводит на мысль, что кампания активна как минимум с марта. С другой стороны, кеши говорят, что Camero и callCam из магазина приложений установили всего пять и один раз соответственно. Количество установок FileCrypt Manager неизвестно. Google удалила приложения из магазина, но неизвестно, где они ещё могут быть доступны для скачивания.

Серверы управления могут быть частью инфраструктуры SideWinder. В 2018 году представители лаборатории Касперского говорили, что SideWinder нацелена главным образом на военных из Пакистана и активность зафиксирована вплоть до 2012 года. В декабре специалист по безопасности написал в Twitter, что группа SideWinder ответственна за атаки с применением закрытой сейчас уязвимости Equation Editor в Microsoft Office.