Malware Android

Bardzo groźne aplikacje usunięte z Google Play – natychmiast je odinstaluj, jeśli z nich korzystasz!

3 minuty czytania
Komentarze

Google Play to niesamowicie popularny sklep z aplikacjami, który niestety nieustannie zalewany jest przez złośliwe aplikacje, z którymi gigant z Mountain View najwyraźniej sobie nie radzi – mimo wielu prób. Niemal nie ma miesiąca, w który nie informowalibyśmy Was o kolejnych zagrożeniach odkrytych w Sklepie Play. Niestety styczeń nie jest wyjątkiem, bo robię to właśnie teraz – w Google Play znów znaleziono złośliwe aplikacje. W dodatku tym razem naprawdę groźne, które wykorzystywały lukę w Androidzie do przejęcia kontroli nad urządzeniem ofiary.

Trzy złośliwe aplikacje odkryte w Google Play – wykorzystywały groźną lukę

Google Play złośliwe aplikacje

Nie ma to jak dobrze wejść w nowy rok. Zespół Trend Micro odkrył, że w Google Play były obecne aż trzy aplikacje typu malware, które wykorzystywały lukę CVE-2019-2215 w sterowniku Binder w Androidzie, opisaną pierwotnie przez Maddie Stone z Google Project Zero. Złośliwe aplikacje, które należy natychmiast usunąć ze smartfonów (z Google Play już zniknęły), nazywają się następująco:

  • Camero (com.camero.android.camera2basic)
  • FileCrypt Manager (com.adbulrauf.filemanager)
  • callCam (com.callCam.android.callCam2base)

Zasada działania tego malware jest dość skomplikowana i złożona, a w dodatku mamy do czynienia z pierwszym tego typu atakiem niewycelowanym w konkretną osobę. Wspomniana wcześniej luka umożliwia cyberprzestępcom wykorzystanie metody use-after-free, dzięki której możliwe jest zrootowanie smartfona ofiary i tym samym uzyskanie do niego dostępu.

Zobacz także: Ponad 50 organizacji ma dosyć. Wystosowano otwarty list do Google dotyczący prywatności w Androidzie

Aplikacje Camero i FileCrypt Manager działały jako swojego rodzaju przekaźniki. Po instalacji automatycznie pobierały plik wykonawczy DeX, który następnie instalował ostatni element układanki – aplikację callCam. Niestety użytkownik nie był w stanie tego zauważyć inaczej niż w wyniku przypadku, bowiem gdy callCam już się zainstaluje, ukrywa swoją ikonę i zaczyna zbieranie danych, które następnie przesyłane są do cyberprzestępców przez działający w tle serwer C&C. Jeśli chodzi o to, co wpada w ręce hakerów, to lista jest niestety długa:

  • Lokalizacja
  • Wskaźnik procentowy naładowania baterii
  • Pliki na urządzeniu
  • Lista zainstalowanych aplikacji
  • Informacje o urządzeniu
  • Informacje z aparatu
  • Zrzuty ekranu
  • Informacje o koncie
  • Informacje o WiFi
  • Dane z takich aplikacji jak WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail i Google Chrome

Luka umożliwiająca narobienie opisanych powyżej szkód znajduje się w sterowniku Binder w wersjach Androida wypuszczonych przed kwietniem ubiegłego roku. To z kolei oznacza, że wciąż wiele smartfonów jest podatnych na atak, dlatego też po kupnie nowego urządzenia najlepiej od razu zaktualizować jego oprogramowanie do najnowszej wersji, gdyż luka została już dawno załatana w jednej z aktualizacji.

Warto wspomnieć, że działanie tego malware potwierdzono tylko na następujących smartfonach (co oczywiście nie oznacza, że nie może funkcjonować na innych – zespół Trend Micro nie przetestował przecież wszystkich smartfonów świata):

  • Google Pixel (Pixel 2, Pixel 2 XL)
  • Nokia 3 (TA-1032)
  • LG V20 (LG-H990)
  • Oppo F9 (CPH1881)
  • Xiaomi Redmi 6A

Podsumowując – aktualizujcie regularnie swoje smartfony i natychmiast odinstalujcie wymienione wcześniej aplikacje, jeśli je kiedykolwiek pobraliście.

Źródło: Blog Trend Micro

Motyw