اگر یکی از این سه مورد اپلیکیشن که  در زیر  آنها را معرفی میکنیم روی  گوشی اندرویدی شما وجود دارد بهتر است مراقب باشید.حتی اگر این اپلیکیشن ها مستقیما از گوگل پلی استور دانلود شده باشد.خطر هک شدن یا اینکه هک شده باشید وجود دارد .

این اپلیکیشن های آلوده Camero , FileCrypt ,callCam  هستند و که اعتقاد بر این است که با Sidewinder APT مرتبط باشند .یک گروه هکری بسیار پیچیده که متخصص حملات جاسوسی سایبری هستند.

به گفته کارشناسان سایبری در موسسه Trend Micro این برنامه ها از ماه مارس سال گذشته در حال اکسپلویت کردن یک آسیب پذیری use-after-free بسیار بحرانی در اندروید هستند هفت ماه قبل از اینکه همین آسیب پذیری به عنوان zero-day شناسایی شود .

آسیب پذیری CVE-2019-2215  یک مشکل local privilege escalation است که بصورت full root سیستم آسیب پذیر را تهدید میکند وقابلیت اکسپلویت شدن از راه دور را دارد زمانیکه با یک آسیب پذیری جداگانه  browser rendering تلفیق شود.

بنا بر اظهارات Trend Micro اپلیکیشن های FileCrypt manager  و Camero به عنوان dropper عمل میکنند وبا اتصال به یک سرور  C&C یک فایل DEX را دانلود میکنند که به دانلود اپلیکیشن callCam منجر میشود وبا  اکسپلویت کردن آسیب پذیری privilege escalation و یا استفاده از قابلیت های دسترسی سعی در نصب کردن آن میکند.

تمام این مراحل بدون آگاهی کاربر انجام میشود به منظور مخفی ماندن از تکنیک های مختلفی مثل obfuscation ,رمزنگاری و  dynamic code استفاده میشود.

به محض نصب شدن callCam آیکون خود را از منو مخفی میکند وبا جمع آوری اطلاعات زیر از دستگاه آلوده شده آنها را به سرور C&C ارسال میکند:

  • موقعیت مکانی
  • وضعیت باطری
  • فایل های روی دستگاه
  • لیست اپلیکیشن های نصب شده
  • اطلاعات دستگاه
  • اطلاعات سنسورها
  • اطلاعات دوربین
  • اسکرین شات
  • حساب کاربری
  • اطلاعات WiFi
  • اطلاعات WeChat, Outlook, Twitter , Yahoo Mail , Facebook ,Gmail و Chrome

علاوه بر CVE-2019-2215 اپلیکیشن های ذکر شده اقدام به اکسپلویت کردن یک آسیب پذیری دیگر در درایور MediaTek-SU میکنند تا به Root دسترسی پیدا کنند و حضور دائمی تری در طیف وسیع تری از سیستم های اندرویدی داشته باشند.با بررسی موقعیت سرور c&c کارشناسان این  کارزار را به SideWinder نسبت داده اند که باور بر این است یک گروه سایبری هندی است که سوابقی از هدف قرار دادن ارتش پاکستان را دارد.

گوگل همه اپلیکیشن های ذکر شده را از مارکت خود حذف کرده ولی کاربران باید در دانلود کردن برنامه ها احتیاط کنند.به منظور اطلاع از اینکه آیا سیستم اندرویدی شما آلوده شده یا خیر با مراجعه به Android system settings و سپس App Manager  اسم پکیج های ذکر شده را جستجو کنید  وسپس آنها را پاک کنید.برای محافظت ازبیشتر حملات سایبری پیشنهاد میشود تمهیدات زیر به کار گرفته شود:

  • بروز نگه داشتن دستگاه واپلیکیشن ها
  • عدم دانلود برنامه ها از منابع ناشناس
  • توجه به دسترسی هایی که اپلیکیشن ها مجوز آنها را ازکاربر درخواست میکنند
  • back up گرفتن به موقع از اطلاعات
  • نصب یک برنامه آنتی ویروس مطمئن و شناخته شده
  • خواندن نظرات کاربران قبل از نصب اپلیکیشن های جدید