ここ数週間で、デバイスを乗っ取る悪質なアプリが少なくとも 3 つ、Google Play ストアに登場しました。
これはトレンドマイクロの専門家による報告で、削除されたアプリケーションはすべて、オペレーティングシステムのuse-after-free(解放後使用)脆弱性を悪用して権限を昇格し、コマンド&コントロールサーバーからマルウェアをダウンロードして実行していたことが判明しました。悪意のあるアプリはCamero、FileCrypt、callCamでしたので、まだインストールされているかどうかご確認ください。
「3つの悪質なアプリは写真撮影やファイル管理ツールを装っていた」とトレンド社の研究者、エキュラー・シュー氏とジョセフ・チェン氏は月曜日に述べた。
「アプリの1つに残された証明書情報に基づき、これらのアプリは2019年3月から活動していたと推測しています。」
悪用されたプログラミングミスはCVE-2019-2215、Androidカーネルのプロセス間メッセージングシステム、具体的にはbinder.cに存在するuse-after-free()の脆弱性です。この脆弱性を悪用されると、ローカルアプリがカーネルレベルの権限(いわゆるGodモード)で感染したデバイス上で任意のコードを実行できるようになります。
アプリが何回インストールされたかは不明だが、Camero のスクリーンショットにはインストール数が「5+」と記載されているため、リーチは最小限だった可能性がある。
興味深いことに、アプリ自体は2019年3月から利用可能であったにもかかわらず、CVE-2019-2215の修正は2019年10月のAndroidセキュリティアップデートで初めて公開されました。しかし、この脆弱性を突くエクスプロイトは、脆弱性が初めて公開された3月以降に追加された可能性があります。
Google:Playストアに悪質なコンテンツをアップロードしていたロシア政府系ハッカー集団を逮捕
続きを読む
研究者によると、この脆弱性は、被害者がCameroまたはFileCrypt Managerをダウンロードした際に発生した。正規のアプリとされるこれらのアプリは、コマンド&コントロールサーバーに接続し、そこから2つのファイルをダウンロードする。これらのファイルは連携してCVE-2019-2215を悪用し、カーネルレベルの権限を取得し、攻撃の最終段階であるcallCamアプリをインストールする。
callCamツールは、デバイスのハードウェア情報に加え、位置情報、インストール済みアプリ、WeChat、Outlook、Twitter、Yahoo!メール、Gmail、Chromeブラウザなどの特定のアプリケーションからデータを収集できます。盗まれたデータは暗号化されたファイルとして保存され、後でアップロードできます。
コマンド&コントロールサーバーを基にすると、感染の背後にいるグループは、2012年から活動しているハッキンググループ「SideWinder」であると考えられています。
このチームは主にパキスタンの政府および軍事システムを標的にしていると考えられており、これまでは主に Windows PC 向けのエクスプロイトとマルウェアに依存してきました。®
