Aplicaciones maliciosas de Google Play vinculadas a SideWinder APT



El ataque activo que involucra tres aplicaciones maliciosas de Android es el primer CVE-2019-2215 que explota, informan investigadores de Craze Micro.

Los investigadores han descubierto un ataque que explota CVE-2019-2215, que aprovecha tres aplicaciones maliciosas en la tienda Google Engage in para comprometer un dispositivo objetivo y recopilar datos de los usuarios.

Esta amenaza está vinculada al grupo de amenazas persistentes avanzadas (APT) de SideWinder, informan Ecular Xu y Joseph Chen de Craze Micro en una publicación de site. Sidewinder, un grupo detectado por Kaspersky Labs en el primer trimestre de 2018, apunta principalmente a la infraestructura militar paquistaní y ha estado activo desde al menos 2012. Los investigadores de seguridad creen que el grupo de amenaza es asociado con intereses de espionaje indio y tiene un historial de apuntar a dispositivos Home windows y Android.

CVE-2019-2215 fue revelado en octubre de 2019 por Maddie Stone del Proyecto Cero de Google. La vulnerabilidad de escalada de privilegios locales de día cero afectó a cientos de millones de teléfonos Android en el momento de su publicación. Se lanzó un parche en diciembre de 2017 para versiones anteriores de Android sin embargo, la nueva revisión del código fuente indicó que las versiones más nuevas del software eran vulnerables.

La vulnerabilidad de uso libre después se considera «de alta gravedad» y requiere un objetivo para descargar una aplicación maliciosa para una posible explotación. Un atacante tendría que encadenar CVE-2019-2215 con otro exploit para infectar y controlar de forma remota un dispositivo a través del navegador u otro vector de ataque. El error permite un «compromiso overall» de un dispositivo vulnerable, explicó Stone.

Si bien period «muy possible» que el mistake se usara en los ataques en octubre pasado, esto marca la primera campaña activa conocida que lo usó en la naturaleza, informan Xu y Chen. Esta vulnerabilidad individual existe en Binder, el principal sistema de comunicación entre procesos que existe en Android, y las tres aplicaciones maliciosas utilizadas en el ataque se disfrazaron como herramientas de fotografía y administrador de archivos.

Se cree que las aplicaciones de Android Camero, FileCrypt Manager y callCam están relacionadas con el grupo SideWinder y han estado activas en Google Enjoy desde marzo de 2019, según la información del certificado de una de las aplicaciones. Todos han sido eliminados de Enjoy Store.

CallCam es la aplicación de carga útil y se instala en dos etapas, la los investigadores explican. Primero se descarga un archivo DEX, un formato de archivo de Android, desde el servidor de comando y handle. El archivo DEX descargado descarga un archivo APK y lo instala después de explotar el dispositivo o utilizar la accesibilidad. Camero y FileCrypt Manager actúan como cuentagotas. Después de descargar el archivo DEX del servidor C2, invocan un código adicional para descargar, instalar y ejecutar la aplicación callCam.

Los investigadores señalan que se sospecha que los servidores C2 utilizados son parte de la infraestructura de SideWinder. Además, una URL que enlaza con una de las páginas de Google Perform de las aplicaciones está en uno de los servidores C2.

SideWinder se basa en el rooteo del dispositivo como una de sus tácticas para implementar callCam sin alertar a la víctima. El malware recupera un exploit específico del servidor C2 dependiendo del DEX que descarga el cuentagotas. Este enfoque solo funciona en Google Pixel (Pixel 2 y Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F0 (CPH1881) y dispositivos Redmi 6A.

En el transcurso de su investigación, Development Micro pudo descargar cinco exploits del servidor C2 y descubrió que usaban CVE-2019-2215 y MediaTek-SU para obtener privilegios de root. Una vez que logran esto, el malware instala callCam, habilita los permisos de accesibilidad y se inicia.

Otro enfoque es utilizar el permiso de accesibilidad, una técnica utilizada por FileCrypt Supervisor en teléfonos Android con Android 1.6 o exceptional. Después del lanzamiento, FileCrypt le pide al usuario que habilite la accesibilidad. Cuando se otorga, esto muestra una superposición de pantalla completa que dice que requiere una configuración adicional. En segundo plano, la aplicación está llamando al código del archivo DEX para que pueda descargar más aplicaciones e instalar callCam. Habilita el permiso de accesibilidad y lanza la carga útil.

«Todo esto sucede detrás de la pantalla de superposición, sin que el usuario lo sepa», escriben Xu y Chen.

Después del inicio, el icono de callCam está oculto en el dispositivo de destino y recopila datos en segundo plano para enviarlos al servidor C2. Esta información incluye la ubicación, el estado de la batería, los archivos almacenados en el dispositivo, la lista de aplicaciones instaladas, los datos de la cuenta, los datos de Wi-Fi e información relacionada con el dispositivo, el sensor y la cámara. También extrae datos de WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail y Chrome. CallCam cifra todos estos datos robados mediante el cifrado RSA y AES, y utiliza SHA256 para verificar la integridad de los datos y personalizar la rutina de codificación.

Contenido relacionado:

Kelly Sheridan es la Editora de private de Dark Studying, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Insurance policy & Technological know-how, donde cubrió asuntos financieros … Ver biografía completa

Más thoughts





Enlace a la noticia authentic