日前,网络安全公司趋势科技(Trend Micro)在谷歌应用商店中发现了3款恶意APP,他们可以协同工作以破坏安装者的设备并收集用户信息。
值得注意的是,其中一个名为“Camero”利用了CVE-2019-2215这个漏洞,该漏洞存在于Binder(安卓操作系统系统中的主要进程间通信系统)中。趋势科技表示,这还是他们首次观察到该漏洞被用于网络攻击。
进一步的调查表明,这3款APP有很大可能出自黑客组织“响尾蛇”(SideWinder,也被称T-APT-04)之手。SideWinder是一个老牌黑客组织,自2012年以来一直保持活跃,据说主要攻击目标是巴基斯坦的军事实体。
根据趋势科技的说法,有效载荷的安装分为两个阶段。
第一阶段:从命令和控制(C2)服务器下载一个DEX文件(一种安卓文件格式),C2服务器地址经过Base64编码。
完成此步骤后,下载的DEX文件将下载并安装一个APK文件。
接下来,3款APP中的Camero和FileCrypt Manger将被用于充当第一阶段Dropper,从C2服务器下载额外的DEX文件。
然后,充当第二阶段dropper的DEX文件会调用额外的代码,以在设备上下载、安装和启动有效载荷——callCam。
callCam启动后,首先会隐藏自身图标,然后收集如下信息并将它们上传到C2服务器:
这3款APP之所以被认为出自SideWinder之手,是因为它们所使用的C2服务器被怀疑是SideWinder基础设施的一部分。
此外,趋势科技在SideWinder的其中一台C2服务器上也找到了链接到APP之一的谷歌商店页面的网址。
据称,这三款APP仅适用于运行Android 1.6以上系统的部分安卓设备,这其中就包括了Google Pixel(Pixel 2、Pixel 2 XL)、Nokia 3(TA-1032)、LG V20(LG-H990)、Oppo F9 (CPH1881)以及Redmi 6A。
此外,为获取ROOT权限,APP还会涉及到利用漏洞CVE-2019-2215和MediaTek-SU。
由此可见,想要避免遭受黑客入侵、网络攻击以及恶意软件的侵害,及时安装更新以修复漏洞,会是一种很好的主动防御措施。
本文暂时没有评论,来添加一个吧(●'◡'●)