구글 취약점으로 트릭
보안 연구원이 경우 악성 앱이 스토어 플레이 구글이 오랫동안 알려진 것을 발견 안드로이드 - 취약점 감시 및 다른 트릭 사용자를. 구글 은 1 년 반 전에 10 월에 적극적으로 악용 된 것을 발견했다.
보안 회사 트렌드 마이크로 는 구글 플레이 스토어 (Google Play Store)에서 10 월 구글이 발표 한 보안 허점 으로 안드로이드 사용자를 감시 한 애플리케이션을 분석했다. 온라인 잡지 Ars Technica가 먼저 보도했습니다. 구글은 10 월 트로이 제조업체 NSO 고객들이 안드로이드의 보안 취약점 을 적극적으로 이용하고 있다고 밝혔다 .
보안 연구원 Ecular Xu와 Joseph C Chen은 Google이 출시 된 직후 Camero (카메라 앱), Filecrypt Manager (파일 관리자) 및 Callcam (비디오 텔레포니) 앱을 발견했습니다. Camero 및 Filecrypt Manager는 점 적기 역할을하며 명령 및 제어 서버에서 Callcam 앱을 다운로드하여 설치합니다. 그들은 다른 트릭을 사용하여 안드로이드 사용자로부터 설치를 숨 깁니다.
루트 권한과 접근성을 가진 사용자 결정
Camero는 Linux 커널에서 무료 사용 후 버그의 Android 취약점을 사용하며, 이는 Android 폰에 대한 권한을 확장하는 데 사용될 수 있습니다. 특히 걱정 : Google은 1 년 반 전에 보안 취약점을 발견하고 패치를 만들었지 만 자체 장치로 패치를 전달하지는 않았습니다.
Camero의 맬웨어 작성자는이 권한을 사용하여 루트 권한을 획득하고 Callcam 앱을 눈에 띄지 않게 설치할 수 있습니다. 트렌드 마이크로 (Trendmicro)에 따르면이 권리 확장은 구글 픽셀 2와 2 XL뿐만 아니라 노키아 3, LG V20, Oppo F9 및 레드 미 6A에서도 작동했다. Filecrypt Manager 앱은 거의 모든 Android 스마트 폰에서 작동하며 사용자에게 접근성을 사용하도록 요청합니다. 이는 더 나은 성능을위한 것입니다. 앱이 승인되면 접근성 기능을 사용하여 전체 화면 창을 표시합니다. 아래 창은 숨겨져 있습니다. 백그라운드에서 응용 프로그램은 알 수없는 응용 프로그램을 설치하고 Callcam을 설치하고 더 많은 권한을 부여합니다. 또한 액세스 기능을 사용합니다.
사용자의 콜캠 스파이
이러한 방법 중 하나로 설치된 Callcam 앱은 사용자에 대한 다양한 데이터를 수집하고 암호화하여 공격자에게 보냅니다. 여기에는 위치, 장치의 파일, 스크린 샷 및 배터리 수준 또는 Wi-Fi 정보와 같은 다양한 시스템 정보가 포함됩니다. Wechat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail 및 Chrome과 같은 앱의 데이터도 있습니다. 사용자가 Callcam 앱을 보지 못하도록 아이콘을 숨 깁니다. 트렌드 마이크로는 공격자가 2019 년 3 월 이후 활동 한 것으로 의심합니다. 이것은 세 가지 앱 중 하나의 인증서를 제안합니다.