Exploit su Android installa un malware senza interazione utente

09/01/2020

Android CallCam Camero CVE-2019-2215 FileCryptManager

I ricercatori di Trend Micro hanno rilevato 3 apps presenti sull’app store di Google Play, che sono in grado di sfruttare la vulnerabilità relativa al CVE-2019-2215.

La vulnerabilità colpisce i sistemi Android consentendo ad un’applicazione di elevare i privilegi a “root” senza interazione da parte dell’utente finale. Per sfruttare la vulnerabilità, tuttavia, è richiesta l’installazione di un’applicazione locale dannosa o di un’ulteriore vulnerabilità in un’applicazione di rete.

Le 3 app osservate sono:

  • Camero;
  • FileCryptManager;
  • CallCam;

Tra queste, Camero è l’app che sfrutta la vulnerabilità use-after-free CVE-2019-2215 presente in Binder (uno dei componenti principali di Android).

 

Dettagli sulla distribuzione del malware

L’installazione del malware avviene in due fasi. Prima viene scaricato un file DEX (un formato di file Android) dal suo server di comando e controllo (C&C), successivamente l’indirizzo è codificato in Base64, quindi impostato sul parametro referrer nell’URL utilizzato per distribuire il malware.

Successivamente, il file DEX scaricato effettua il download di un file APK e lo installa. Tutto questo processo avviene in maniera trasparente all’utente, facendo uso di diverse tecniche di offuscamento per eluderne il rilevamento.

Le app Camero e FileCrypt Manager fungono da dropper: dopo aver scaricato il file DEX aggiuntivo dal server C&C, i dropper di secondo livello invocano un codice aggiuntivo per scaricare, installare e avviare l’app callCam sul dispositivo.

La ricerca ha evidenziato le modalità di distribuzione dell’app callCam sul dispositivo senza la consapevolezza dell’utente:

1) Device Rooting

Questo approccio è fatto dall’app dropper Camero e funziona solo su Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) e Redmi 6A . Il malware recupera un exploit specifico dal server C&C a seconda del DEX scaricato dal dropper.

Per abilitare il root del device viene sfruttata la vulnerabilità CVE-2019-2215 e il tool MediaTek-SU.

Dopo aver acquisito il privilegio di root, il malware installa l’app callCam, abilita la sua autorizzazione di accessibilità e quindi la avvia.

2) Autorizzazioni di accessibilità

Questo approccio è utilizzato dall’app dropper FileCrypt Manager e funziona sui telefoni Android dalla versione 1.6 in poi. Dopo la sua esecuzione, l’app chiede all’utente di abilitare l’accessibilità.

Una volta concessa, l’app mostra una finestra a schermo intero un cui vengono richiesti ulteriori passaggi di configurazione. In realtà questa è solo una schermata sovrapposta che viene visualizzata in cima a tutte le finestre di attività sul dispositivo. La finestra di overlay imposta i suoi permessi su FLAG_NOT_FOCUSABLE e FLAG_NOT_TOUCHABLE, consentendo alle finestre di attività di rilevare e ricevere gli eventi di tocco degli utenti attraverso la schermata di overlay.

callCam

L’app callCam nasconde la sua icona sul dispositivo dopo l’avvio e raccoglie le seguenti informazioni e le rimanda al server C&C in background:

  • Posizione;
  • Stato della batteria;
  • File sul dispositivo;
  • Elenco delle app installate;
  • Informazioni sul dispositivo;
  • Informazioni sul sensore;
  • Informazioni sulla fotocamera;
  • Immagine dello schermo;
  • Account;
  • Informazioni Wifi;
  • Dati di WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail e Chrome.

L’app cifra tutti i dati rubati utilizzando algoritmi di crittografia RSA e AES. Utilizza SHA256 per verificare l’integrità dei dati e personalizzare la routine di codifica. Durante la cifratura crea un blocco di dati chiamato headData.

Considerazioni Finali

Il CERT-PA raccomanda di rimuovere le app infette, peraltro già rimosse dal Google Play Store. Si raccomanda di non installare app di dubbia provenienza ovvero non provenienti dagli store ufficiali.

 

Indicatori di compromissione

Si riportano gli indicatori rilevati dalla ricerca:

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash