(https://i.imgur.com/wZui44u.jpg)
Aplicaciones de Google Play Store explotan Android Zero-Day utilizado por NSO Group
¡Cuidado! Si tiene instalado en su teléfono Android alguno de los administradores de archivos y aplicaciones de fotografía mencionados anteriormente, incluso si lo descargó de la tienda oficial de Google Store, ha sido pirateado y rastreado.
Estas aplicaciones de Android maliciosas recientemente detectadas son Camero , FileCrypt y callCam que se cree que están vinculadas a Sidewinder APT, un sofisticado grupo de piratería especializado en ataques de ciberespionaje.
Según los investigadores de seguridad cibernética de Trend Micro, estas aplicaciones estaban explotando una vulnerabilidad crítica de uso libre después de Androidal menos desde marzo del año pasado, es decir, 7 meses antes de que se descubriera el mismo defecto como día cero cuando el investigador de Google analizó un ataque separado desarrollado por el proveedor israelí de vigilancia NSO Group.
"Especulamos que estas aplicaciones han estado activas desde marzo de 2019 en función de la información del certificado en una de las aplicaciones", dijeron los investigadores .
Rastreado como CVE-2019-2215 , la vulnerabilidad es un problema de escalada de privilegios locales que permite el compromiso total de la raíz de un dispositivo vulnerable y también podría explotarse de forma remota cuando se combina con un defecto de representación del navegador separado.
Este spyware rootea en secreto su teléfono Android
Según Trend Micro, FileCrypt Manager y Camero actúan como cuentagotas y se conectan a un servidor de comando y control remoto para descargar un archivo DEX, que luego descarga la aplicación callCam e intenta instalarla aprovechando las vulnerabilidades de escalada de privilegios o abusando de la función de accesibilidad.
(https://i.imgur.com/0Jxiv6t.jpg)
"Todo esto se realiza sin la conciencia o intervención del usuario. Para evadir la detección, utiliza muchas técnicas como la ofuscación, el cifrado de datos y la invocación de código dinámico", dijeron los investigadores.
Una vez instalada, la callCam oculta su ícono del menú, recopila la siguiente información del dispositivo comprometido y la envía de vuelta al servidor C&C del atacante en segundo plano:
- Ubicación
- Estado de la batería
- Archivos en el dispositivo
- Lista de aplicaciones instaladas
- Información del dispositivo
- Información del sensor
- Información de la cámara
- Captura de pantalla
- Cuenta
- Información wifi
Datos de WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail y Chrome.
Además de CVE-2019-2215, las aplicaciones maliciosas también intentan aprovechar una vulnerabilidad separada en el controlador MediaTek-SU para obtener el privilegio de root y permanecer persistente en una amplia gama de teléfonos Android.
Vía: https://thehackernews.com
HOLA!!!
Deberian concentrarse en ver que permisos necesita un app con verlos te das cuenta que algo raro hay
GRACIAS POR LEER!!!