Onderzoekers hebben in de Google Play Store drie malafide apps ontdekt die een beveiligingslek in Android gebruikten om volledige controle over toestellen te krijgen. De kwetsbaarheid werd al eerder bij zeroday-aanvallen tegen Androidgebruikers ingezet, maar is inmiddels door Google gepatcht.
Google waarschuwde Androidgebruikers in oktober voor de kwetsbaarheid, die op dat moment al actief werd aangevallen. Het beveiligingslek (CVE-2019-2215) werd in november 2017 gevonden en gerapporteerd. In februari 2018 verscheen er een update voor de Linux 4.14-, Android 3.18-, Android 4.4- en Android 4.9-kernels. De update werd echter nooit aan een maandelijks Android-beveiligingsbulletin toegevoegd, waardoor zeer veel toestellen kwetsbaar waren en mogelijk nog steeds zijn. Het gaat om een zogeheten "local privilege escalation" waarmee een aanvaller die al toegang tot een Androidtoestel heeft volledige controle over het apparaat kan krijgen.
Om misbruik van de kwetsbaarheid te maken zou er eerst een kwaadaardige applicatie op de telefoon moeten worden geïnstalleerd. In het geval van een aanval via het web, bijvoorbeeld bij het openen van een website, is een aanvullend beveiligingslek vereist. "Ondanks dat er een patch in de upstream-Linuxkernel beschikbaar was, was het bijna twee jaar niet gepatcht in Androidtoestellen. We denken dat aanvallers in die periode dit lek hebben gebruikt om gebruikers aan te vallen", liet Maddie Stone van Google in november weten.
Specifiek ging het om de Pegasus-spyware die via de kwetsbaarheid werd geïnstalleerd. De spyware is ontwikkeld door de NSO Group, een Israëlisch bedrijf dat software aanbiedt waarmee overheidsinstanties en opsporingsdiensten op afstand toegang tot smartphones kunnen krijgen. Google vermoedt dat de exploit die misbruik van de kwetsbaarheid maakt is gebruikt om spyware van de NSO Group te verspreiden.
Vandaag meldt antivirusbedrijf Trend Micro dat het drie apps in de Google Play Store heeft ontdekt die het beveiligingslek gebruikten om volledige controle over toestellen te krijgen. Zodra gebruikers de apps, "FileCrypt Manager", "callCam" en "Camero" wilden installeren, gebruikte de malware het lek om toestellen te rooten. Het ging specifiek om Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881) en Redmi 6A-telefoons.
De malware in de apps verzamelde locatiegegevens, informatie over bestanden op het toestel, geïnstalleerde apps, camera-informatie, screenshots, accountgegevens, wifi-informatie en data van WeChat, Outlook, Twitter, Yahoo Mail, Facebook, Gmail en Chrome. Trend Micro vermoedt dat de drie malafide apps sinds maart 2019 in de Google Play Store waren te vinden. Inmiddels zijn ze door Google verwijderd. Afgelopen oktober en november verhielp Google de kwetsbaarheid in Android. Veel Androidtoestellen ontvangen echter geen updates meer of op een later moment.
Deze posting is gelocked. Reageren is niet meer mogelijk.