بهره‌برداری از آسیب‌پذیری روز-صفرم اندروید متعلق به NSO Group توسط ۳ برنامه در گوگل‌پلی

اگر از یک سری برنامه‌های مدیریت فایل و یا عکاسی استفاده می‌کنید، این احتمال دارد که مورد نفوذ قرار گرفته‌اید و مهاجمان شما را ردیابی می‌کنند. هرچند اگر این برنامه‌ها را از مراجع معتبر مانند گوگل‌پلی دانلود کرده باشید. این برنامه‌ها Camero، FileCrypt و callCam نام دارند که توسط یک گروه نفوذ به نام Sidewinder APT آلوده و توزیع شده‌اند. گفته‌ها حاکی از آن است که این برنامه‌ها از یک آسیب‌پذیری استفاده پس از آزادسازی در اندروید بهره‌برداری می‌کنند.

این بهره‌برداری از ماه مارس سال قبل یعنی از ۷ ماه قبل انجام شده و به نظر می‌رسد قبل از اولین شناسایی این آسیب‌پذیری بوده باشد. اولین شناسایی این آسیب‌پذیری روز-صفرم در حمله‌ای بود که توسط گروه نفوذ NSO Group وابسته به رژیم صهیونیستی اسرائیل انجام شده بود. به این آسیب‌پذیری روز-صفرم در اندروید شناسه‌ی CVE-2019-2215 اختصاص یافته و منجر به ارتقاء امتیاز محلی شده و روت سیستم را آلوده کند. این آسیب‌پذیری زمانی‌که با آسیب‌پذیری‌های دیگری از طریق مرورگر ترکیب شود، می‌تواند از راه دور نیز مورد بهره‌برداری قرار بگیرد.

این جاسوس‌افزار می‌تواند مخفیانه دستگاه شما را روت کند. به گفته‌ی محققان امنیتی از شرکت ترندمیکرو، برنامه‌های FileCrypt Manager و Camero مانند یک dropper عمل کرده و یک سرور دستور و کنترل راه دور متصل شده و فایل DEX را دانلود می‌کنند. در ادامه نیز برنامه‌ی callCam دانلود شده و سعی می‌کند با بهره‌برداری از آسیب‌پذیری ارتقاء امتیاز و یا سوءاستفاده از ویژگی‌های دسترسی، بر روی سیستم هدف نصب شود. همه‌ی این مراحل بدون اطلاع کاربر انجام شده و برای فرار از تشخیص نیز از روش‌هایی مانند مبهم‌سازی، رمزنگاری داده‌ها و استفاده از کدهای پویا بهره برده می‌شود.

برنامه و بدافزار callCam وقتی بر روی سیستم نصب شد، در منو آیکون خود را مخفی می‌کند و اطلاعاتی مانند، مکان، وضعیت باتری، فایل‌های موجود بر روی دستگاه، برنامه‌های نصب‌شده، اطلاعات دستگاه، اطلاعات سنسورها، اطلاعات دوربین، اسکرین‌شات و اطلاعات وای‌فای را جمع‌آوری کرده و به سمت سرور دستور و کنترل بدافزار ارسال می‌کند. از دیگر اطلاعات جمع‌آوری‌شده می‌توان به داده‌های وی‌چت، یاهو، توییتر، فیس‌بوک، جی‌میل و کروم اشاره کرد.

علاوه بر آسیب‌پذیری CVE-2019-2215، این برنامه‌های مخرب سعی دارند تا از یک آسیب‌پذیری دیگر در درایور MediaTek-SU نیز بهره‌برداری کرده و به امتیازات روت دست یافته و به پایداری بر روی تجهیزات برسند. باوجود هم‌پوشانی‌هایی که در مکان سرورهای دستور و کنترل وجود داشته، محققات این بدافزارها را به SideWinder یک گروه نفوذ هندی نسبت داده‌اند که علاقه‌مند است بخش‌های نظامی پاکستان را هدف حملات خود قرار دهد. شرکت گوگل در حال حاضر این برنامه‌های مخرب را از گوگل‌پلی حذف کرده است. برای جلوگیری از آلوده شدن دستگاه‌های اندرویدی به بدافزار، به کاربران توصیه می‌شود دستگاه‌ها و برنامه‌های خود را به‌روز نگه دارند، از منابع ناشناس برنامه‌ای را دانلود نکنند، همواره به مجوزهایی که توسط برنامه‌ها درخواست می‌شود توجه داشته باشند، به‌طور مدوام از داده‌های خود بک‌آپ بگیرند و یک برنامه‌ی ضدبدافزاری مناسب را بر روی سیستم خود نصب کنند.

منبع

پست‌های مشابه

Leave a Comment