Investigadores descubren aplicaciones maliciosas de Google Play vinculadas a piratas informáticos activos

Los investigadores han encontrado más aplicaciones maliciosas de Google Play, una de las cuales explota una grave vulnerabilidad de enraizamiento de Android para que la aplicación pueda tomar capturas de pantalla y recopilar otros tipos de información confidencial del usuario.

Camero explota CVE-2023-2215, una potente vulnerabilidad descubierta en octubre por el grupo de investigación de vulnerabilidad Project Zero de Google, informaron el lunes investigadores de Trend Micro. La falla use-after-free facilita que los atacantes obtengan privilegios completos de root en los teléfonos Pixel 1 y Pixel 2 y una gran cantidad de otros modelos de Android. Google parchó la vulnerabilidad en octubre, unos días después de que la investigadora de Project Zero, Maddie Stone, informara que probablemente estaba bajo un ataque activo por parte del desarrollador de exploits NSO Group o uno de sus clientes. Las tres aplicaciones ya no están disponibles en Play.

Camero se conectó a un servidor de comando y control que tiene enlaces a SideWinder, el nombre en clave de un grupo de piratas informáticos malicioso que ha estado apuntando a entidades militares desde al menos 2012. Luego, la aplicación descargó un código de ataque que explota CVE-2023-2215 o un exploit separado. en el controlador MediaTek-SU que instala una aplicación de espionaje llamada callCam. callCam recopiló una variedad de datos confidenciales de los usuarios, incluidos:

• Ubicación
• Estado de la batería
• archivos en el dispositivo
• Lista de aplicaciones instaladas
• Información del dispositivo
• Información de sensores
• Información de la cámara
• Captura de pantalla
• Cuenta
• informacion wifi
• Datos de WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail y Chrome

Para escapar de la detección, callCam ocultó su icono después de la instalación. También utilizó una rutina criptográfica compleja para cifrar los datos robados antes de enviarlos a los servidores controlados por el atacante. callCam también estaba disponible como una oferta independiente de Google Play que se anunciaba a sí misma como una aplicación de llamada y cámara. Mientras tanto, una tercera aplicación, llamada FileCrypt Manager, instaló callCam abusando de los permisos de accesibilidad de Android para mostrar superposiciones de pantalla. Debajo, la aplicación instaló una serie de aplicaciones que eventualmente terminaron con callCam.

Si bien un certificado en una de las aplicaciones sugiere que la campaña ha estado activa desde marzo, los cachés de búsqueda web aquí y aquí muestran que Camero y callCam recibieron solo cinco y una instalación, respectivamente, de Google Play. La cantidad de instalaciones de FileCrypt Manager no quedó clara de inmediato. Google eliminó las aplicaciones, por lo que ya no están disponibles en la tienda oficial de Google Play. No está claro si las aplicaciones están disponibles en otros lugares.

Los investigadores de TrendMicro, Ecular Xu y Joseph C. Chen, dijeron que se sospecha que los servidores de control a los que están conectadas las aplicaciones forman parte de la infraestructura de SideWinder. También se encuentra una URL que enlaza con una de las aplicaciones de Google Play en uno de los servidores de control. En 2023, investigadores de Kaspersky Lab dijeron que SideWinder apuntaba principalmente a grupos militares paquistaníes y que había estado activo al menos desde 2012. El mes pasado, un investigador de seguridad dijo en Twitter que SideWinder probablemente estaba detrás de los ataques que explotaron una vulnerabilidad ahora parcheada en el Editor de ecuaciones que es parte de Microsoft Office.

Las personas que desean verificar si hay infecciones en los teléfonos Android pueden encontrar indicadores de compromiso en el informe de TrendMicro vinculado anteriormente. Los representantes de Google no hicieron ningún comentario para esta publicación, aparte de confirmar que las aplicaciones se eliminaron de Play.