اگر از یک سری برنامههای مدیریت فایل و یا عکاسی استفاده میکنید، این احتمال دارد که مورد نفوذ قرار گرفتهاید و مهاجمان شما را ردیابی میکنند. هرچند اگر این برنامهها را از مراجع معتبر مانند گوگلپلی دانلود کرده باشید. این برنامهها Camero، FileCrypt و callCam نام دارند که توسط یک گروه نفوذ به نام Sidewinder APT آلوده و توزیع شدهاند. گفتهها حاکی از آن است که این برنامهها از یک آسیبپذیری استفاده پس از آزادسازی در اندروید بهرهبرداری میکنند.
این بهرهبرداری از ماه مارس سال قبل یعنی از ۷ ماه قبل انجام شده و به نظر میرسد قبل از اولین شناسایی این آسیبپذیری بوده باشد. اولین شناسایی این آسیبپذیری روز-صفرم در حملهای بود که توسط گروه نفوذ NSO Group وابسته به رژیم صهیونیستی اسرائیل انجام شده بود. به این آسیبپذیری روز-صفرم در اندروید شناسهی CVE-2019-2215 اختصاص یافته و منجر به ارتقاء امتیاز محلی شده و روت سیستم را آلوده کند. این آسیبپذیری زمانیکه با آسیبپذیریهای دیگری از طریق مرورگر ترکیب شود، میتواند از راه دور نیز مورد بهرهبرداری قرار بگیرد.
این جاسوسافزار میتواند مخفیانه دستگاه شما را روت کند. به گفتهی محققان امنیتی از شرکت ترندمیکرو، برنامههای FileCrypt Manager و Camero مانند یک dropper عمل کرده و یک سرور دستور و کنترل راه دور متصل شده و فایل DEX را دانلود میکنند. در ادامه نیز برنامهی callCam دانلود شده و سعی میکند با بهرهبرداری از آسیبپذیری ارتقاء امتیاز و یا سوءاستفاده از ویژگیهای دسترسی، بر روی سیستم هدف نصب شود. همهی این مراحل بدون اطلاع کاربر انجام شده و برای فرار از تشخیص نیز از روشهایی مانند مبهمسازی، رمزنگاری دادهها و استفاده از کدهای پویا بهره برده میشود.
برنامه و بدافزار callCam وقتی بر روی سیستم نصب شد، در منو آیکون خود را مخفی میکند و اطلاعاتی مانند، مکان، وضعیت باتری، فایلهای موجود بر روی دستگاه، برنامههای نصبشده، اطلاعات دستگاه، اطلاعات سنسورها، اطلاعات دوربین، اسکرینشات و اطلاعات وایفای را جمعآوری کرده و به سمت سرور دستور و کنترل بدافزار ارسال میکند. از دیگر اطلاعات جمعآوریشده میتوان به دادههای ویچت، یاهو، توییتر، فیسبوک، جیمیل و کروم اشاره کرد.
علاوه بر آسیبپذیری CVE-2019-2215، این برنامههای مخرب سعی دارند تا از یک آسیبپذیری دیگر در درایور MediaTek-SU نیز بهرهبرداری کرده و به امتیازات روت دست یافته و به پایداری بر روی تجهیزات برسند. باوجود همپوشانیهایی که در مکان سرورهای دستور و کنترل وجود داشته، محققات این بدافزارها را به SideWinder یک گروه نفوذ هندی نسبت دادهاند که علاقهمند است بخشهای نظامی پاکستان را هدف حملات خود قرار دهد. شرکت گوگل در حال حاضر این برنامههای مخرب را از گوگلپلی حذف کرده است. برای جلوگیری از آلوده شدن دستگاههای اندرویدی به بدافزار، به کاربران توصیه میشود دستگاهها و برنامههای خود را بهروز نگه دارند، از منابع ناشناس برنامهای را دانلود نکنند، همواره به مجوزهایی که توسط برنامهها درخواست میشود توجه داشته باشند، بهطور مدوام از دادههای خود بکآپ بگیرند و یک برنامهی ضدبدافزاری مناسب را بر روی سیستم خود نصب کنند.