El primer ataque explotando CVE-2019-2215, relacionado con el grupo APT SideWinder

Investigadores de Trend Micro encontraron tres aplicaciones maliciosas en la Play Store de Google, y durante el análisis se encontraron con que una de ellas explotaba la vulnerabilidad CVE-2019-2215 que reside en Binder (un sistema de Inter-Process Communication en Android).

 

Tras el análisis no sólo fue posible conocer que las aplicaciones parecen haber estado activas desde Marzo de 2019, sino que las tres podrían formar parte del arsenal de SideWinder, un grupo cibercriminal activo desde alrededor de 2012 y cuyo foco principal fueron objetivos militares en Pakistan.

 

Las tres aplicaciones fingían ser, como en la mayoría de los casos de malware en dispositivos móviles, utilidades de fotografía y file management. Tras el reporte de Trend Micro a Google, estas fueron removidas de la store.

 

Las tres aplicaciones analizadas.
Certificado de una de las aplicaciones.

Instalación

La aplicación callCam, que actúa como payload final, se instala en dos fases a través de alguna de las otras dos aplicaciones.

 

En primer lugar se descarga un archivo DEX (Un formato de Android) desde un servidor de Command & Control. Durante la investigación fue posible conocer que los cibercriminales usan Apps Conversion Tracking para configurar la dirección del servidor, la cual es codificada en base64 y luego usada como referrer en una URL usada para distribuir el malware.

 

El archivo DEX que se ha descargado, descarga a su vez un archivo APK y lo instala tras comprometer el dispositivo, todo ello sin conocimiento ni intervención del usuario y mediante el uso de técnicas como ofuscación, cifrado de datos e invocación de código dinámico, o bien engañar al usuario para que brinde permisos de accesibilidad.

 

Las aplicaciones Camero y FileCrypt Manager actúan como droppers y, luego de descargar el archivo DEX desde el servidor de Command & Control, éste actua como un segundo dropper que descarga, instala y ejecuta la aplicación callCam.

 

Workflow de la instalación del payload.

Como mencionamos anteriormente, el archivo en formato Dex que actúa como un segundo dropper, logra instalar callCam sin conocimiento del usuario y lo logra de dos maneras.

 

Rooting del dispositivo

Sobre dispositivos Google Pixel (Pixel 2 y Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) y Redmi 6A la aplicación Camero utiliza un exploit que descarga desde la Command & Control y usa para obtener privilegio de root.

 

Entre los cinco exploits que Trend Micro pudo obtener y analizar, se encontró varios que abusaban de la vulnerabilidad CVE-2019-2215 y el exploit MediaTek-SU.

 

Luego de obtener root, el malware instala callCam y habilita los permisos de accesibilidad para dicha aplicación.

 

Abusando de la accesibilidad

La aplicación FileCrypt Manager, por el contrario, opta por una técnica que funciona en casi todos los dispositivos Android a partir de la versión 1.6 y consiste en engañar al usuario para que habilite la accesibilidad, la cual es usada para instalar callCam sin que el usuario se entere debido a que se muestra una pantalla que oculta las tareas en el background.

 

Mensaje que solicita al usuario habilitar la accesibilidad
Imagen que se muestra al usuario mientras se ejecuta la instalación de callCam por detrás.

Funciones de callCam

Una vez callCam se instala en el dispositivo, oculta su ícono y envía, de forma cifrada, la siguiente información del dispositivo hacia un servidor de Command & Control:

 

  • Localización
  • Estado de la batería
  • Archivos en el dispositivo
  • Aplicaciones instaladas
  • Información del dispositivo
  • Información de sensores
  • Información de la cámara
  • Screenshots
  • Información de la cuenta
  • Información de la red wifi
  • Información de WeChat,Outlook, Twitter, Yahoo Mail, Facebook, Gmail y Google Chrome

 

Tras todo el análisis realizado sobre esta cadena de infección, parece que los servidores de Command & Control se encontrarían relacionados con el grupo SideWinder y ello es lo que permitió relacionar esta amenaza con el grupo.

 

Indicadores de compromiso

Archivos DEX

SHA256: ec4d6bf06dd3f94f4555d75c6daaf540dee15b18d62cc004e774e996c703cb34

Nombre de detección (Patrones Trend Micro): AndroidOS_SWinderSpy.HRXA

 

SHA256: a60fc4e5328dc75dad238d46a2867ef7207b8c6fb73e8bd001b323b16f02ba00

Nombre de detección (Patrones Trend Micro): AndroidOS_SWinderSpy.HRXA

 

Archivos ELF

SHA256: 0daefb3d05e4455b590da122255121079e83d48763509b0688e0079ab5d48886

Nombre de detección (Patrones Trend Micro): AndroidOS_MtkSu.A

 

SHA256: 441d98dff3919ed24af7699be658d06ae8dfd6a12e4129a385754e6218bc24fa

Nombre de detección (Patrones Trend Micro): AndroidOS_BinderExp.A

 

SHA256: ac82f7e4831907972465477eebafc5a488c6bb4d460575cd3889226c390ef8d5

Nombre de detección (Patrones Trend Micro): AndroidOS_BinderExp.A

 

SHA256: ee679afb897213a3fd09be43806a7e5263563e86ad255fd500562918205226b8

Nombre de detección (Patrones Trend Micro): AndroidOS_BinderExp.A

 

SHA256: 135cb239966835fefbb346165b140f584848c00c4b6a724ce122de7d999a3251

Nombre de detección (Patrones Trend Micro): AndroidOS_MtkSu.A

 

Aplicaciones maliciosas

Nombre de paquete: com.camero.android.camera2basic

Aplicación: Camero

 

Nombre de paquete: com.abdulrauf.filemanager

Aplicación: FileCrypt Manager

 

Nombre de paquete: com.callCam.android.callCam2base

Aplicación: callCam

 

Servidores de Command & Control

ms-ethics[.]net

deb-cn[.]net

ap1-acl[.]net

ms-db[.]net

aws-check[.]net

reawk[.]net

 

Más información

Publicación en el blog de Trend Micro (En inglés)

 

Adicionalmente Trend Micro ha realizadao una demo de la explotación de esta vulnerabilidad:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *