在Google Play商店中发现了三款恶意应用,恶意应用会攻击目标设备并收集用户信息,其中一个名为CAMMO,利用漏洞编号为CVE-2019-2215。这是在野第一个已知的使用use-after-free漏洞的主动攻击。经过进一步调查发现这三款应用可能是SideWinder组织武库的一部分。
这三个恶意应用被伪装成摄影和文件管理工具。根据其中一款应用的证书信息推测这些应用自2019年3月起就一直处于活跃状态。目前这些应用程序已经从Google Play中删除。
安装
SideWinder分两个阶段安装payload。它首先从C&C服务器下载DEX文件(Android文件格式)。该组使用应用程序转换来配置C&C服务器地址。地址由Base64编码,然后在恶意软件分发的URL中设置为referer参数。
下载的DEX文件将下载一个APK文件并安装。所有这些都是在隐蔽情况下完成的。为了逃避检测,它使用如模糊处理、数据加密和调用动态代码等技术。
应用程序Camero和FileCrypt manager从C&C服务器下载额外的DEX文件后,第二层的dropper调用额外的代码来下载、安装和启动设备上的callCam应用程序。
在用户不知情的情况下在设备上部署负载应用callCam,SideWinder将执行以下操作:
一、设备root
由Camero应用完成,仅适用于谷歌(Pixel 2,Pixel 2 XL)、诺基亚3(TA-1032)、LG V20(LG-H990)、Oppo F9(CPH1881)和Redmi 6A设备。恶意软件根据dropper下载的索引从C&C服务器检索特定的攻击。
在调查期间从C&C服务器下载了5个漏洞。攻击者使用漏洞CVE-2019-2215和MediaTek SU获取根权限。
获取根权限后,恶意软件将安装应用程序callCam,授权并启动。
二、使用辅助功能权限
FileCrypt Manager使用该方法,其适用于Android 1.6以上的大多数Android手机。应用程序启动后,会要求用户启用辅助功能。
一旦获得许可,应用程序将显示一个全屏窗口,显示需要进一步的安装步骤。但实际上这只是一个覆盖屏幕,显示在设备上所有活动窗口的顶部。
同时,应用程序从额外的DEX文件调用代码,安装未知应用程序和callCam。它授予安装程序访问权限并启动程序。所有这些都发生在覆盖屏幕后面,用户不知情。
callCam活动分析
app安装启动后会隐藏图标,收集一下用户信息并发送回c&c服务器:
位置信息、电池状态、文件、已安装app列表、设备信息、传感器信息、摄像头信息、屏幕就截屏、账户、wifi信息以及各类社交软件和浏览器数据。
应用程序使用RSA和AES加密算法对所有回传数据进行加密。它使用SHA256验证数据完整性并自定义编码接口。加密时,它会创建一个headData的数据块。此块包含原始数据的前9个字节、原始数据长度、随机AES IV、RSA加密AES加密密钥和AES加密原始数据的SHA256值。然后通过自定义接口对头数据进行编码。编码后存储在最终加密文件的头部,然后是AES加密原始数据的数据。
SideWinder关联分析
这些应用使用的C&C服务器被怀疑是SideWinder设施的一部分。在一台C&C服务器上还找到一个URL链接到应用程序的Google Play页面。
IOCs
C&C Servers
ms-ethics.net
deb-cn.net
ap1-acl.net
ms-db.net
aws-check.net
reawk.net
*参考来源:trendmicro,由Kriston编译,转载请注明来自FreeBuf.COM