Trzy szkodliwe aplikacje usunięte z Google Play. Wykorzystywały znaną lukę zero-day Strona główna Aktualności08.01.2020 11:54 Kolejne zagrożenie kryło się wśród aplikacji dostępnych w Google Play, fot. Oskar Ziomek Udostępnij: O autorze Arkadiusz Stando @coldrain Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku. Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno chwalił się zwiększeniem zabezpieczeń w swoim markecie z aplikacjami, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto. Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już w październiku, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android. Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam. Trend Micro Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak: Lokalizacja Poziom naładowania baterii Pliki na urządzeniu Lista zainstalowanych aplikacji Informacje o urządzeniu Dane z aparatu Robienie zrzutów ekranu Dane sieci Wi-Fi Aplikacja może zbierać także dane z aplikacji na smartfonie. Trend Micro wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome. Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna. O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A. Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Apple usuwa apkę z App Store pod zarzutem śledzenia ludzi i wcale nie chodzi o malware 12 lis 2019 Piotr Urbaniak Oprogramowanie Internet Bezpieczeństwo 11 Google Play: 42 aplikacje z reklamami usunięte. Odinstaluj je ze swojego smartfona 29 paź 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 75 Google Play: we wrześniu wykryto 172 szkodliwe aplikacje na Androida. Dominują reklamy 30 paź 2019 Oskar Ziomek Oprogramowanie Bezpieczeństwo 11 Aplikacja należąca do Google uznana za malware, i to przez smartfony z Androidem 3 sty Arkadiusz Stando Oprogramowanie Bezpieczeństwo 55
Udostępnij: O autorze Arkadiusz Stando @coldrain Trzy niebezpieczne aplikacje zniknęły ze Sklepu Play. Camero, FileCrypt i callCam to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku. Nie mogliśmy wyobrażać sobie innego wejścia w nowy rok. Kolejne trzy aplikacje zniknęły ze Sklepu Play i jak zwykle z tego samego powodu – to malware. I chociaż Google niedawno chwalił się zwiększeniem zabezpieczeń w swoim markecie z aplikacjami, to i tak kolejne szkodliwe aplikacje będą do niego trafiać, a wielu jeszcze nie wykryto. Aplikacje wykorzystujące lukę zero-day znowu wykryte w Google Play Trzy aplikacje usunięte ze Sklepu Play wykorzystują lukę CVE-2019-2215, którą wykryła Maddie Stone z Google Project Zero. Pisaliśmy o niej już w październiku, a kilka dni później pierwsze poprawki trafiały do użytkowników smartfonów z systemem Android. Opisywany problem znajduje się w samym sercu systemu, w jądrze Androida. Lukę wykryto w konkretnej wersji sterownika Binder, odpowiadającego za komunikację między procesami. Pozwala ona na przeprowadzenie tzw. zabiegu use-after-free, co finalnie umożliwia potajemne zrootowanie urządzenia z pomocą MediaTek-SU. FileCrypt Manager i Camero działają jako zalążek. Pobierają plik wykonawczy w formacie DEX, którego zadaniem jest instalacja callCam. Trend Micro Użytkownik ma oczywiście niczego nie zauważyć – na tym polega cała sztuczka, dlatego rolą dwóch aplikacji było zainstalowanie trzeciej. CallCam ukrywa swoją ikonkę aplikacji po zainstalowaniu i rozpoczyna zbieranie danych, które przesyła na serwery atakującego. A przesyłać może praktycznie wszystko, w tym informacje takie jak: Lokalizacja Poziom naładowania baterii Pliki na urządzeniu Lista zainstalowanych aplikacji Informacje o urządzeniu Dane z aparatu Robienie zrzutów ekranu Dane sieci Wi-Fi Aplikacja może zbierać także dane z aplikacji na smartfonie. Trend Micro wymienia programy takie jak WeChat, Outlook, Twitter, Facebook, Gmail, czy Chrome. Luka znajduje się w wersjach jądra Androida wydanych przed kwietniem 2019 roku. A więc sporo fabrycznie nowych smartfonów będzie nadal podatnych na atak. Oczywiście, o ile nie zostaną aktualizowane natychmiast po uruchomieniu. Łatka dostępna jest od dawna. O wykryciu złośliwości Camero, FileCrypt i callCam poinformowali Ecular Xu i Joseph C Chen z Trend Micro, a sposób działania opisali na swoim blogu. Problem potwierdzono na urządzeniach Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A. Nie ma pewności, kto stoi za atakiem. Jednakże na podstawie lokalizacji serwerów zbierających dane, eksperci z Trend Micro wywnioskowali, że tropy najprawdopodobniej prowadzą do indyjskiej grupy SideWinder. Jest znana z wcześniejszych ataków na Pakistańskie Siły Zbrojne. Oprogramowanie Internet Bezpieczeństwo Udostępnij: © dobreprogramy Zgłoś błąd w publikacji