Trzy szkodliwe aplikacje usunięte z Google Play. Wykorzystywały znaną lukę zero-day Strona główna Aktualności08.01.2020 11:54 Kolejne zagrożenie kryło się wśród aplikacji dostępnych w Google Play, fot. Oskar Ziomek Udostępnij: O autorze Arkadiusz Stando @coldrain Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku. Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno chwalił się zwiększeniem zabezpieczeń w swoim markecie z aplikacjami, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto. Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już w październiku, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android. Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam. Trend Micro Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak: Lokalizacja Poziom naładowania baterii Pliki na urządzeniu Lista zainstalowanych aplikacji Informacje o urządzeniu Dane z aparatu Robienie zrzutów ekranu Dane sieci Wi-Fi Aplikacja może zbierać także dane z aplikacji na smartfonie. Trend Micro wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome. Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna. O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A. Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Szkodliwa aplikacja w Google Play. CamScanner miał ponad 100 mln pobrań 28 sie 2019 Anna Rymsza Oprogramowanie Bezpieczeństwo 155 Google usunęło 85 niebezpiecznych aplikacji ze Sklepu Play. Pobrało je 8 milionów 17 sie 2019 Arkadiusz Stando Oprogramowanie Bezpieczeństwo 150 Google i Dell wprowadzą Chromebooki i linuxowe aplikacje do firm 26 sie 2019 Anna Rymsza Oprogramowanie Sprzęt Biznes 53 Google Play Pass dostępny. Abonament na gry i aplikacje dla Androida 25 wrz 2019 Jan Domański Oprogramowanie 18
Udostępnij: O autorze Arkadiusz Stando @coldrain Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku. Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno chwalił się zwiększeniem zabezpieczeń w swoim markecie z aplikacjami, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto. Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już w październiku, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android. Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam. Trend Micro Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak: Lokalizacja Poziom naładowania baterii Pliki na urządzeniu Lista zainstalowanych aplikacji Informacje o urządzeniu Dane z aparatu Robienie zrzutów ekranu Dane sieci Wi-Fi Aplikacja może zbierać także dane z aplikacji na smartfonie. Trend Micro wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome. Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna. O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A. Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji