В официальном магазине Android-приложений Google Play Store обнаружили три программы, связанные с правительственной группировкой Sidewinder, специализирующейся на кибершпионаже. Все три приложения эксплуатируют 0-day уязвимость в Android.
По словам исследователей из компании Trend Micro, программы Camero, FileCrypt и callCam доступны для загрузки по меньшей мере с марта прошлого года. Вредоносный софт использует критическую уязвимость в Android вида «use-after-free».
Саму брешь обнаружили лишь спустя семь месяцев после появления Camero, FileCrypt и callCam в Google Play Store.
«Мы полагаем, что злонамеренные приложения активны с марта 2019 года. Такой вывод мы сделали, изучив сертификат одной из программ», — пишут эксперты в блоге.
Вышеупомянутая уязвимость в Android получила идентификатор CVE-2019-2215, благодаря ей атакующий может повысить свои права в системе. Причём эксплуатирующий брешь злоумышленник способен получить полный root-доступ.
Что касается приложений группы Sidewinder, приведём список их возможностей на примере callCam. Во-первых, программы скрывают свою иконку, а также собирают и отправляют на C&C-сервер следующие данные:
- Геолокацию
- Состояние аккумулятора
- Хранящиеся на устройстве файлы
- Список установленных приложений
- Информацию о девайсе
- Информацию о датчиках
- Данные камеры
- Скриншоты
- Аккаунт пользователя
- Информацию о Wi-Fi
- Данные из сервисов WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и Chrome