日前，網路安全公司趨勢科技（Trend Micro）在谷歌應用商店中發現了3款惡意APP，他們可以協同工作以破壞安裝者的裝置並收集使用者資訊。

值得注意的是，其中一個名為“Camero”利用了CVE-2019-2215這個漏洞，該漏洞存在於Binder（安卓作業系統系統中的主要程序間通訊系統）中。趨勢科技表示，這還是他們首次觀察到該漏洞被用於網路攻擊。

進一步的調查表明，這3款APP有很大可能出自黑客組織“響尾蛇”（SideWinder，也被稱T-APT-04）之手。SideWinder是一個老牌黑客組織，自2012年以來一直保持活躍，據說主要攻擊目標是巴基斯坦的軍事實體。

有效載荷安裝

根據趨勢科技的說法，有效載荷的安裝分為兩個階段。

第一階段：從命令和控制（C2）伺服器下載一個DEX檔案（一種安卓檔案格式），C2伺服器地址經過Base64編碼。

圖3.解析的C2伺服器地址

完成此步驟後，下載的DEX檔案將下載並安裝一個APK檔案。

接下來，3款APP中的Camero和FileCrypt Manger將被用於充當第一階段Dropper，從C2伺服器下載額外的DEX檔案。

然後，充當第二階段dropper的DEX檔案會呼叫額外的程式碼，以在裝置上下載、安裝和啟動有效載荷——callCam。

圖4.兩階段有效載荷安裝

有效載荷分析

callCam啟動後，首先會隱藏自身圖示，然後收集如下資訊並將它們上傳到C2伺服器：

地理位置電池狀態裝置上的檔案已安裝的APP列表裝置資訊感測器資訊攝像頭資訊螢幕截圖賬戶Wifi資訊微信、Outlook、Twitter、Yahoo Mail、Facebook、Gmail和Chrome資料與SideWinder的關聯

這3款APP之所以被認為出自SideWinder之手，是因為它們所使用的C2伺服器被懷疑是SideWinder基礎設施的一部分。

此外，趨勢科技在SideWinder的其中一臺C2伺服器上也找到了連結到APP之一的谷歌商店頁面的網址。

目標裝置及漏洞利用

據稱，這三款APP僅適用於執行Android 1.6以上系統的部分安卓裝置，這其中就包括了Google Pixel（Pixel 2、Pixel 2 XL）、Nokia 3（TA-1032）、LG V20（LG-H990）、Oppo F9 （CPH1881）以及Redmi 6A。

此外，為獲取ROOT許可權，APP還會涉及到利用漏洞CVE-2019-2215和MediaTek-SU。

由此可見，想要避免遭受黑客入侵、網路攻擊以及惡意軟體的侵害，及時安裝更新以修復漏洞，會是一種很好的主動防禦措施。