安卓提权漏洞再遭利用

       CNNVD-201910-198、CVE-2019-2215是一个安卓提权漏洞，谷歌认为该漏洞已经在2017年12月修补好了。但是实际上在某些型号的手机并没有修补这个漏洞，这也就导致这些型号的手机都暴露在风险当中。

       而该漏洞此前被谷歌曝出曾被NSO Group用来攻击NGO组织。

       由于该漏洞的POC已经曝光，并且Github也有安全人员对此进行复现，因此其他黑客利用该漏洞进行攻击将会是一个必然事件，果不其然，安全专家近日发布报告称，他们在Google Play商店中发现了三个恶意应用程序，主要功能是破坏受害者的设备并收集用户信息。

       其中一个名为Camero的应用利用了这个漏洞，该漏洞存在于Binder（Android中主要的进程间通信系统）中，也就是上面提到的漏洞。

       此外，这三个APP还可能是APT组织SideWinder发起的攻击，也就是响尾蛇组织。这三个恶意应用伪装成摄影和文件管理器工具。根据其中一个应用程序的证书信息，推测这些应用程序自2019年3月以来一直处于活动状态。目前这些应用已从Google Play中删除下架。

       SideWinder分两个阶段安装APP应用程序的Payload。它首先从其C2服务器下载一个DEX文件。该服务器通过Apps Conversion Tracking配置。该地址由Base64编码，然后设置为恶意软件分发所用URL中的Referrer参数。

       完成此步骤后，下载的DEX文件将下载APK文件，并在利用设备或使用辅助功能安装该文件。所有这些都是在没有用户意识或干预的情况下完成的。为了逃避检测，它使用了许多技术，例如混淆，数据加密和调用动态代码。

       其中Camero和FileCrypt Manger应用程序充当dropper。

       从C＆C服务器下载额外的DEX文件后，第二层放置器会调用额外的代码以在设备上下载，安装和启动callCam应用程序。然后要在用户不知情的情况下在设备上部署下载回来的APP:callCam

       启动后，应用程序callCam会在设备上隐藏其图标。它收集以下信息，并在后台将其发送回C＆C服务器：

       • 位置

       • 电池状态

       • 设备上的文件

       • 已安装的应用列表

       • 设备信息

       • 传感器信息

       • 相机资讯

       • 屏幕截图

       • 帐户

       • 无线网络信息

       • 微信，Outlook，Twitter，Yahoo Mail，Facebook，Gmail和Chrome的数据

       该应用程序使用RSA和AES加密算法对所有被盗数据进行加密。它使用SHA256来验证数据完整性并自定义编码例程。加密时，它将创建一个名为headData的数据块。

       该块包含原始数据的前9个字节，原始数据长度，随机AES IV，RSA加密的AES加密密钥以及AES加密的原始数据的SHA256值。然后headData通过定制例程进行编码。编码后，将其存储在最终加密文件的开头，然后再存储AES加密原始数据的数据。

       这些应用可能归因于SideWinder，因为它使用的C＆C服务器被怀疑是SideWinder基础架构的一部分。此外，在其中一台C＆C服务器上也找到了链接到应用程序之一Google Play页面的URL。

       在Google Play这样有专人审核的应用市场都会混入恶意软件，充分说明了，防止手机中马，还得靠个人的安全意识。