Специалисты Trend Micro обнаружили в официальном магазине приложений для Android сразу три приложения (Camero, FileCrypt Manager и callCam), связанные с индийской группировкой Sidewinder, специализирующейся на кибершпионских атаках.
Эти приложения использовали критическую уязвимость CVE-2019-2215 (локальное повышение привилегий для root-доступа) по крайней мере с марта 2019 года, за семь месяцев до того, как эта проблема была впервые обнаружена ИБ-специалистами.
По информации Trend Micro, приложения FileCrypt Manager и Camero выступают в роли дропперов, то есть подключаются к удаленному серверу злоумышленников для загрузки файла DEX, который затем загружает приложение callCam и пытается установить его, используя уязвимости для повышения привилегий или злоупотребляя Accessibility Service (об этой парадоксальной и неустранимой благодаря американскому закону ADA дыре мы также много писали).
После установки приложение callCam скрывает свой значок от пользователя, собирает и похищает техническую и пользователськую информацию с взломанного устройства, затем передавая ее на управляющий сервер.
Основываясь на информации об управляющих серверах малвари, исследователи приписали эту вредоносную кампанию шпионской группировке Sidewinder, которая считается индийской и обычно атакует организации, связанные с пакистанскими военными.
Забавно, что на своих ошибках никто даже и не думает учиться: не далее чем в октябре канадская компания BlackBerry, производящая одноимённые бизнес-смартфоны, выпустила отчет о программах-шпионах от группировок, которые связывают с правительствами разных стран в Google Play (и AppleStore).
В отчете говорится, что буквально «сотни» таких программ обходят защитные меры Apple и Google. BlackBerry указывают на операции, связанные с правительственными киберпреступников из Китая, Ирана, Северной Кореи и Вьетнама.
Помимо этого, исследователи BlackBerry отметили, что правительство разрабатывает «нативные вредоносы для Android и iOS», причём делает это уже лет десять, а то и больше.
В сентябре в Google Play Store обнаружили 172 вредоносных программы, большей часть adware. Общее количество установок этих приложений превышало 330 миллионов.
Читайте также на АКБ:
Программы в Google Play Store не обновляют даже при наличии обновлений