Google elimina tres aplicaciones maliciosas de Google Play, una de las cuales explota un error de escalada de privilegios del kernel parcheado recientemente en Android (CVE-2019-2215) para instalar la aplicación destinada a espiar a los usuarios.
La existencia de CVE-2019-2215 se descubrió a fines de 2019 cuando se descubrió que estaba siendo explotada en la naturaleza. Los investigadores del Grupo de Análisis de Amenazas de Google y otras partes externas creen que el exploit se originó con NSO Group, una compañía con sede en Israel que se especializa en software de vigilancia legal y cuyo software espía móvil Pegasus es abusado por regímenes opresivos para espiar a «enemigos». En ese momento, el equipo de Android consideró que el error era de alta gravedad y señaló que se debe instalar una aplicación maliciosa en el dispositivo de destino para realizar la explotación.
Investigadores de Trend Micro descubrieron tres aplicaciones maliciosas en Google Play:
Camero: disfrazado de aplicación fotográficaFileCrypt Manager: disfrazado como una aplicación de administrador de archivoscallCam: disfrazado como una aplicación de llamada de cámara.
Los dos primeros actuaron como un gotero para el tercero, que realizaría el espionaje real.
La aplicación Camero descargaría un archivo DEX de un C&C, que luego descargaría el archivo APK de callCam y usaría el exploit CVE-2019-2215 para rootear el dispositivo, instalar la aplicación y ejecutarla sin ninguna interacción del usuario o conocimiento del usuario.
«Este enfoque (…) solo funciona en Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) y dispositivos Redmi 6A», señalaron los investigadores.
La aplicación FileCrypt Manager les pediría a los usuarios que habilitaran los Servicios de Accesibilidad de Android y, si lo hicieran, instalarían e iniciarían la aplicación callCam.
La aplicación callCam oculta su ícono después de su lanzamiento, para que los usuarios no lo noten.
Recopila, cifra y envía de vuelta al servidor de C&C información como:
- Ubicación
- Estado de la batería
- Archivos en el dispositivo
- Información del dispositivo
- Lista de aplicaciones instaladas
- Información del sensor
- Captura de pantalla
- Información de la cámara
- Cuenta
- Información wifi
- Datos de WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail y Chrome
¿Aplicaciones utilizadas por APT patrocinado por el estado?
Los hackers patrocinados por el estado ocasionalmente aprovechan Google Play para entregar aplicaciones maliciosas a sus objetivos.
Este último trío malicioso ha estado vinculado a SideWinder, un grupo de actores de amenazas que se sabe que ataca objetivos militares paquistaníes en el pasado, ya que se conectan a servidores C&C que se sospecha que son parte de la infraestructura de SideWinder.
Google proporcionó un parche para CVE-2019-2215 casi poco después de que se descubrió la falla que se estaba explotando, pero es poco probable que se haya difundido a todos los usuarios de Android.
Como siempre, se aconseja a los usuarios que tengan cuidado con las aplicaciones que instalan en sus dispositivos. Google Play puede alojar una cantidad mucho menor de aplicaciones maliciosas que un mercado aleatorio de aplicaciones de terceros, pero la amenaza, por pequeña que sea, persiste.
Origen: App on Google Play exploited Android bug to deliver spyware – Help Net Security
