Image default
Vulnerabilidades

3 apps da Google Play Store exploram falha Zero-Day criada por empresa israelense

Não é de hoje que vemos notícias de aplicativos maliciosos sendo encontrados na Google Play Store. A bola da vez são 3 aplicativos recém-encontrados na loja que possivelmente estejam ligados a um grupo indiano de espionagem, fazendo uso de uma falha zero-day – criada por uma polêmica empresa israelense – para comprometer o dispositivo.

Então fique atento(a) se você possuir um dos apps listados a seguir instalados em seu Android, mesmo que tenha baixado da loja oficial da Google Play. Saiba que você pode ter sido hackeado(a) ou monitorado(a).

Os aplicativos maliciosos encontrados são os seguintes:

  • Camero;
  • FileCrypt
  • callCam

Acredita-se que estejam ligados ao Sidewinder, um sofisticado grupo de hackers especializado em espionagem cibernética.

O modus operandi

De acordo com pesquisadores da Trend Micro, estes apps estavam explorando uma vulnerabilidade do tipo use-after-free no Android, desde pelo menos março do ano passado, sete meses antes da falha ser descoberta como zero-day quando um pesquisador do Google analisou um ataque a parte desenvolvido pela polêmica empresa israelense NSO Group.

Achamos que estes aplicativos estejam ativos desde março de 2019, com base nas informações do certificado de um deles”, disseram os pesquisadores.

A falha Zero-Day (que não é mais zero-day)

Catalogada como CVE-2019-2215, a vulnerabilidade é um problema de escalonamento de privilégios que permite o comprometimento total via root de um dispositivo, além de poder ser explorado remotamente quando combinado com uma falha de renderização do navegador do dispositivo.

Seu smartphone Android é secretamente “rooteado”

De acordo com o Trend Micro, o FileCrypt Manager e o Camero atuam como droppers e se conectam a um servidor remoto de comando e controle (C&C ou C2) para baixar um arquivo com extensão DEX, que por sua vez baixa o app callCam e tenta instalá-lo explorando vulnerabilidades de escalonamento de privilégios ou abusando do recurso de acessibilidade.

Falha Zero-Day
3 apps da Google Play Store exploram falha Zero-Day | Fonte: https://thehackernews.com/2020/01/android-zero-day-malware-apps.html

“Tudo isso é feito sem a conscientização ou intervenção do usuário. Para evitar a detecção a ameaça utiliza muitas técnicas, como a ofuscação, criptografia de dados e chamada dinâmica de código”, disseram os pesquisadores.

Uma vez instalado, o callCam oculta seu ícone do menu, coleta diversas informações do sistema e as envia de volta ao servidor de comando e controle do invasor. Tudo isso, sem que o usuário perceba.

Informações coletadas pelo callCam:

  • Localização
  • Status da bateria
  • Arquivos no dispositivo
  • Lista de aplicativos instalados
  • Informações de dispositivo
  • Informações do sensor
  • Informações da câmera
  • Captura de tela
  • Conta
  • Informação do Wifi
  • Dados de aplicativos como o WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail e Chrome.

Além do CVE-2019-2215, os aplicativos maliciosos também explorar uma vulnerabilidade no driver MediaTek-SU para conseguir obter privilégios de root e permanecer de forma persistente em uma ampla variedade de smartphones Android.

Com base na localização dos servidores de comando e controle, os pesquisadores atribuíram a campanha ao SideWinder, um sofisticado grupo indiano de hackers que historicamente visava organizações ligadas às Forças Armadas do Paquistão.

Como proteger o seu Android contra esta ameaça?

O Google agora removeu da Play Store todos os aplicativos mencionados anteriormente, mas como os sistemas de segurança do Google não são suficientes para manter aplicativos maliciosos fora da loja oficial, você precisa ter bastante cuidado ao baixar aplicativos.

Para verificar se o seu dispositivo está infectado, acesse as configurações do sistema → Apps e notificações. Procure pelo nome dos pacotes listados anteriormente e desinstale-os.

Para proteger seu dispositivo contra a maioria das ameaças não tem muito segredo, basta tomar cuidados simples, mas eficazes, como:

  • Manter dispositivos e aplicativos atualizados;
  • Evitar downloads de aplicativos de fontes desconhecidas;
  • Prestar sempre muita atenção às permissões solicitadas pelos aplicativos. Um aplicativo onde você apenas digita textos não tem a necessidade de usar a sua câmera, acesso aos seus contatos ou ler seus e-mails, não concorda?
  • Realizar backups frequentemente;
  • Instalar um bom aplicativo de antivírus que proteja contra este tipo de ameaça.

Para impedir que seja vítima destes aplicativos maliciosos, sempre tome cuidado com os considerados suspeitos, mesmo após fazer o download dele na Google Play Store, e tente apenas usar os que são de empresas conhecidas e confiáveis. Além disso, sempre verifique as avaliações de aplicativos feitas por outros usuários que fizeram o download, verifique sempre as permissões antes de instalar qualquer aplicativo e conceda apenas as permissões relevantes para a finalidade do aplicativo.

Entendido?

Fonte:

https://thehackernews.com/2020/01/android-zero-day-malware-apps.html

https://www.bbc.com/portuguese/geral-48279595

Fonte da imagem utilizada na capa no post:

https://www.vice.com/en_us/article/43z93g/hackers-hid-android-malware-in-google-play-store-exodus-esurv

Posts similares

Falha no RDP permite que servidores maliciosos controlem máquina do usuário

O Analista

NetSpectre: vulnerabilidade Spectre agora pode ser explorada remotamente

O Analista

Mais de 80 produtos da Cisco são afetados pelo bug de DoS FragmentSmack

O Analista