Trzy szkodliwe aplikacje usunięte z Google Play

Camero, FileCrypt i callCam – to szkodliwe programy wykorzystujące te same luki, z których korzystało izraelskie NSO Group, czyli twórcy Pegasusa. Aplikacje były dostępne w Sklepie Play co najmniej od marca 2019 roku. Usunięte aplikacje wykorzystywały podatność CVE-2019-2215, przez co łączyły się z serwerem kontrolnym związanym z grupą hakerską SideWinder. To organizacja cyberprzestępcza, która od co najmniej 2012 roku zajmuje się przeprowadzaniem ataków na podmioty z sektora wojskowego.

Złośliwe programy pobierały na telefon użytkownika aplikację szpiegowską znaną jako callCam, która gromadzi wiele wrażliwych danych, takich jak np. lokalizacja, informacje na temat zużycia baterii oraz plików zapisanych w telefonie, danych odczytywanych z czujników urządzenia, a także sieci bezprzewodowych, z którymi dany smartfon się łączy. CallCam potrafi również wykonywać zrzuty ekranu telefonu inwigilowanej osoby, a także pobierać dane z aplikacji takich jak WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail czy Chrome.

Dane pobierane przez aplikację callCam były szyfrowane, a sam program był skonfigurowany tak, by ukrywał swoją ikonę po instalacji na telefonie ofiary. Dane odnalezione przez analityków w Internecie świadczą o tym, że złośliwe oprogramowanie zostało zainstalowane jedynie przez kilka osób z użyciem oficjalnego kanału dystrybucji oprogramowania Google Play. Aplikacje zostały już z niego usunięte.

Firma TrendMicro zauważa, że grupa hakerska SideWinder, z którą powiązano operację, w przeszłości zajmowała się głównie atakami na cele wojskowe związane z Pakistanem. W ubiegłym miesiącu w mediach społecznościowych pojawiły się również doniesienia o tym, że cyberprzestępcy działający w ramach tego ugrupowania zhakowali część pakietu Microsoft Office.