Google Play Apps gevonden die kwetsbaarheid misbruiken

Abonneer je gratis op Techzine!

Een kwetsbaarheid in de kernel van Anroid wordt volgens onderzoekers door een drietal apps uit de Google Play Store gebruikt om toegang te krijgen tot de telefoon van een gebruiker. Volgens de onderzoekers zou de hackgroep SideWinder achter de apps zitten.

De inmiddels verwijderde app Camero zou gebruikmaken van de kwetsbaarheid CVE-2019-2215, die in oktober 2019 aan het licht kwam. Inmiddels is die door middel van een update weggewerkt, maar Camero was sinds maart dat jaar te downloaden in de Google Play Store.

Werd Camero geïnstalleerd, dan wist het middels de kwetsbaarheid een tweetal andere apps te downloaden die diverse data wist te verzamelen. Aangezien het pictogram van de malafide apps direct na installatie verdween, was een gebruiker niet op de hoogte van de aanwezigheid van een data-verzamelende app op zijn of haar telefoon.

TrendMicro vermoedt link met SideWinder

De controleservers waarmee de apps contact zochten na installatie, werden eerder al in verband gebracht met de hackgroep SideWinder. Onderzoekers van Kaspersky meenden eerder dat de groep zich voornamelijk richtte op Pakistaanse militaire groeperingen. Ook zou de groep recentelijk kwetsbaarheden in Microsoft Office gebruikt hebben om toegang te krijgen tot systemen.

De apps zijn inmiddels van de Google Play Store verwijderd, maar kunnen nog steeds op telefoons staan. TrendMicro geeft in zijn onderzoek een aantal indicaties, aan de hand waarvan men kan zien of een telefoon is geïnfecteerd.