信息來源：FreeBuf

在Google Play商店中發(fā)現(xiàn)了三款惡意應(yīng)用，惡意應(yīng)用會攻擊目標(biāo)設(shè)備并收集用戶信息，其中一個名為CAMMO，利用漏洞編號為CVE-2019-2215。這是在野第一個已知的使用use-after-free漏洞的主動攻擊。經(jīng)過進(jìn)一步調(diào)查發(fā)現(xiàn)這三款應(yīng)用可能是SideWinder組織武庫的一部分。

這三個惡意應(yīng)用被偽裝成攝影和文件管理工具。根據(jù)其中一款應(yīng)用的證書信息推測這些應(yīng)用自2019年3月起就一直處于活躍狀態(tài)。目前這些應(yīng)用程序已經(jīng)從Google Play中刪除。

安裝

SideWinder分兩個階段安裝payload。它首先從C&C服務(wù)器下載DEX文件（Android文件格式）。該組使用應(yīng)用程序轉(zhuǎn)換來配置C&C服務(wù)器地址。地址由Base64編碼，然后在惡意軟件分發(fā)的URL中設(shè)置為referer參數(shù)。

下載的DEX文件將下載一個APK文件并安裝。所有這些都是在隱蔽情況下完成的。為了逃避檢測，它使用如模糊處理、數(shù)據(jù)加密和調(diào)用動態(tài)代碼等技術(shù)。

應(yīng)用程序Camero和FileCrypt manager從C&C服務(wù)器下載額外的DEX文件后，第二層的dropper調(diào)用額外的代碼來下載、安裝和啟動設(shè)備上的callCam應(yīng)用程序。

在用戶不知情的情況下在設(shè)備上部署負(fù)載應(yīng)用callCam，SideWinder將執(zhí)行以下操作：

一、設(shè)備root

由Camero應(yīng)用完成，僅適用于谷歌（Pixel 2，Pixel 2 XL）、諾基亞3（TA-1032）、LG V20（LG-H990）、Oppo F9（CPH1881）和Redmi 6A設(shè)備。惡意軟件根據(jù)dropper下載的索引從C&C服務(wù)器檢索特定的攻擊。

在調(diào)查期間從C&C服務(wù)器下載了5個漏洞。攻擊者使用漏洞CVE-2019-2215和MediaTek SU獲取根權(quán)限。

獲取根權(quán)限后，惡意軟件將安裝應(yīng)用程序callCam，授權(quán)并啟動。

二、使用輔助功能權(quán)限

FileCrypt Manager使用該方法，其適用于Android 1.6以上的大多數(shù)Android手機(jī)。應(yīng)用程序啟動后，會要求用戶啟用輔助功能。

一旦獲得許可，應(yīng)用程序?qū)@示一個全屏窗口，顯示需要進(jìn)一步的安裝步驟。但實際上這只是一個覆蓋屏幕，顯示在設(shè)備上所有活動窗口的頂部。

同時，應(yīng)用程序從額外的DEX文件調(diào)用代碼，安裝未知應(yīng)用程序和callCam。它授予安裝程序訪問權(quán)限并啟動程序。所有這些都發(fā)生在覆蓋屏幕后面，用戶不知情。

callCam活動分析

app安裝啟動后會隱藏圖標(biāo)，收集一下用戶信息并發(fā)送回c&c服務(wù)器：

位置信息、電池狀態(tài)、文件、已安裝app列表、設(shè)備信息、傳感器信息、攝像頭信息、屏幕就截屏、賬戶、wifi信息以及各類社交軟件和瀏覽器數(shù)據(jù)。

應(yīng)用程序使用RSA和AES加密算法對所有回傳數(shù)據(jù)進(jìn)行加密。它使用SHA256驗證數(shù)據(jù)完整性并自定義編碼接口。加密時，它會創(chuàng)建一個headData的數(shù)據(jù)塊。此塊包含原始數(shù)據(jù)的前9個字節(jié)、原始數(shù)據(jù)長度、隨機(jī)AES IV、RSA加密AES加密密鑰和AES加密原始數(shù)據(jù)的SHA256值。然后通過自定義接口對頭數(shù)據(jù)進(jìn)行編碼。編碼后存儲在最終加密文件的頭部，然后是AES加密原始數(shù)據(jù)的數(shù)據(jù)。

SideWinder關(guān)聯(lián)分析

這些應(yīng)用使用的C&C服務(wù)器被懷疑是SideWinder設(shè)施的一部分。在一臺C&C服務(wù)器上還找到一個URL鏈接到應(yīng)用程序的Google Play頁面。