3个谷歌Play Store应用程序利用NSO集团使用的Android Zero Day

小心如果您的Android手机上安装了以下任何文件管理器和摄影应用程序—；即使是从谷歌官方商店下载⁠—你被黑客攻击并被跟踪。

这些新检测到的恶意Android应用程序卡梅罗,文件加密和卡拉姆这被认为与Sidewinder APT有关，Sidewinder APT是一个专门从事网络间谍攻击的复杂黑客组织。

Trend Micro的网络安全研究人员称，至少从去年3月开始，这些应用程序在安卓系统中释放漏洞后，就开始利用关键用途⁠—7个月后，谷歌研究人员分析了以色列监控供应商NSO Group开发的另一次攻击，并在零日首次发现了相同的漏洞。

研究人员说：“根据其中一个应用的证书信息，我们推测这些应用自2019年3月以来一直处于活跃状态。”。

该漏洞被追踪为CVE-2019-2215，是一个本地权限升级问题，允许对易受攻击的设备进行完全根泄露，并且当与单独的浏览器呈现漏洞结合时，也可能被远程攻击。

这个间谍软件会秘密地在你的安卓手机上安装

据Trend Micro称，FileCrypt Manager和Camero充当拖放器，连接到远程命令和控制服务器下载DEX文件，然后下载callCam应用程序，并试图利用权限提升漏洞或滥用可访问性功能进行安装。
研究人员说：“所有这些都是在没有用户意识或干预的情况下完成的。为了逃避检测，它使用了许多技术，比如模糊处理、数据加密和调用动态代码。”。

安装后，callCam会从菜单中隐藏其图标，从受损设备收集以下信息，并将其发送回攻击者的C&；C服务器在后台：

• 地方
• 电池状态
• 设备上的文件
• 已安装应用程序列表
• 设备信息
• 传感器信息
• 摄像机信息
• 截图
• 账户
• Wifi信息
• 来自微信、Outlook、Twitter、雅虎邮件、Facebook、Gmail和Chrome的数据。

除了CVE-2019-2215之外，这些恶意应用还试图利用联发科SU驱动程序中的一个单独漏洞获得root权限，并在各种Android手机上保持持久性。

根据指挥和控制服务器的位置重叠，研究人员将此次行动归因于SideWinder，据信这是一个印度间谍组织，历来以与巴基斯坦军方有关联的组织为目标。

如何保护安卓手机免受恶意软件攻击

谷歌现在已经从Play Store中删除了上述所有恶意应用，但由于谷歌系统不足以将恶意应用挡在官方商店之外，因此下载应用时必须非常小心。

要检查您的设备是否感染了该恶意软件，请转到Android系统设置→；App Manager，查找列出的软件包名称并将其卸载。

为了保护您的设备免受大多数网络威胁，建议您采取简单但有效的预防措施，如：

• 让设备和应用保持最新，
• 避免从不熟悉的来源下载应用程序，
• 始终密切关注应用程序请求的权限，
• 经常备份数据，以及
• 安装一个好的防病毒应用程序，防止这种恶意软件和类似的威胁。

为了防止自己成为此类应用的目标，即使从谷歌Play Store下载，也要时刻提防可疑的应用，并尽量只使用受信任的品牌。此外，请务必查看下载应用程序的其他用户留下的应用程序评论，并在安装任何应用程序之前验证应用程序权限，仅授予与应用程序用途相关的权限。