Cyberthreat.id - Jika Anda memiliki salah satu file managers dan aplikasi fotografi yang disebutkan di bawah ini diinstal pada ponsel Android Anda — bahkan jika diunduh dari Google Store⁠ resmi — Anda telah diretas dan dilacak.

Laman The Hacker News merinci aplikasi Android berbahaya yang baru terdeteksi ini adalah Camero, FileCrypt, dan callCam yang diyakini terkait dengan Sidewinder APT, kelompok peretasan canggih yang berspesialisasi dalam serangan spionase dunia maya.

Menurut para peneliti cybersecurity di Trend Micro, aplikasi ini mengeksploitasi kerentanan kritis penggunaan-setelah-bebas di Android setidaknya sejak Maret tahun lalu⁠ — itu 7 bulan sebelum kesalahan yang sama pertama kali ditemukan sebagai zero day ketika peneliti Google menganalisis terpisah serangan yang dikembangkan oleh vendor surveillance Israel NSO Group.

"Kami berspekulasi bahwa aplikasi ini telah aktif sejak Maret 2019 berdasarkan informasi sertifikat pada salah satu aplikasi," kata para peneliti sebagaimana ditulis The Hacker News.

Dilacak sebagai CVE-2019-2215, kerentanan adalah masalah eskalasi hak istimewa lokal yang memungkinkan kompromi root penuh dari perangkat yang rentan dan juga dapat dieksploitasi dari jarak jauh ketika dikombinasikan dengan cacat rendering browser yang terpisah.

Menurut Trend Micro, FileCrypt Manager dan Camero bertindak sebagai droppers dan terhubung ke perintah dan server kontrol jarak jauh untuk mengunduh file DEX, yang kemudian mengunduh aplikasi callCam dan mencoba menginstalnya dengan mengeksploitasi kerentanan peningkatan hak istimewa atau menyalahgunakan fitur aksesibilitas.

"Semua ini dilakukan tanpa kesadaran atau intervensi pengguna. Untuk menghindari deteksi, ini menggunakan banyak teknik seperti kebingungan, enkripsi data, dan menerapkan kode dinamis," kata para peneliti.

Setelah diinstal, callCam menyembunyikan ikonnya dari menu, mengumpulkan informasi berikut dari perangkat yang dikompromikan, dan mengirimkannya kembali ke server C&C penyerang di latar belakang:

• Location
• Battery status
• Files on device
• Installed app list
• Device information
• Sensor information
• Camera information
• Screenshot
• Account
• Wifi information
• Data dari WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail, dan Chrome.

Selain CVE-2019-2215, aplikasi jahat juga mencoba untuk mengeksploitasi kerentanan terpisah pada driver MediaTek-SU untuk mendapatkan hak istimewa root dan tetap gigih pada berbagai handset Android.

Berdasarkan tumpang tindih di lokasi server komando dan kontrol, para peneliti mengaitkan kampanye itu dengan SideWinder, yang diyakini sebagai kelompok spionase India yang secara historis menargetkan organisasi yang terkait dengan Militer Pakistan.[]