В официальном магазине Android-приложений Google Play Store обнаружили три программы, связанные с правительственной группировкой Sidewinder, специализирующейся на кибершпионаже. Все три приложения эксплуатируют 0-day уязвимость в Android.
По словам исследователей из компании Trend Micro, программы Camero, FileCrypt и callCam доступны для загрузки по меньшей мере с марта прошлого года. Вредоносный софт использует критическую уязвимость в Android вида «use-after-free».
Саму брешь обнаружили лишь спустя семь месяцев после появления Camero, FileCrypt и callCam в Google Play Store.
«Мы полагаем, что злонамеренные приложения активны с марта 2019 года. Такой вывод мы сделали, изучив сертификат одной из программ», — пишут эксперты в блоге.
Вышеупомянутая уязвимость в Android получила идентификатор CVE-2019-2215, благодаря ей атакующий может повысить свои права в системе. Причём эксплуатирующий брешь злоумышленник способен получить полный root-доступ.
Что касается приложений группы Sidewinder, приведём список их возможностей на примере callCam. Во-первых, программы скрывают свою иконку, а также собирают и отправляют на C&C-сервер следующие данные:
- Геолокацию.
- Состояние аккумулятора.
- Хранящиеся на устройстве файлы.
- Список установленных приложений.
- Информацию о девайсе.
- Информацию о датчиках.
- Данные камеры.
- Скриншоты.
- Аккаунт пользователя.
- Информацию о Wi-Fi.
- Данные из сервисов WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail и Chrome.
