Blog Trend Micro poinformował, że Google Play usunęło ze swoich zasobów trzy aplikacje, dostępne w nim od co najmniej marca 2019 roku:
- Camero
- FileCrypt
- callCam
Wykorzystywały one lukę CVE-2019-2215, którą w październiku odkryła Maddie Stone z Google Project Zero. Od tego czasu wypuszczona została stosowna aktualizacja, ale niekoniecznie trafiła ona do wszystkich użytkowników. Z tej samej luki korzysta Pegasus, szpiegowski program/wirus, stworzony przez izraelski zespół NSO Group. Jest to najgroźniejsze oprogramowanie jakie powstało na Androida, a korzysta z niego m.in. polskie CBA, które zapłaciło zań 33 mln złotych.
Filecrypt Manager oraz Camera są aplikacjami wytrychami, które pobierają plik wykonawczy, mający za zadanie instalację aplikacji callCam. Gdy się to stanie, ikona ostatniego programu niepostrzeżenie znika z szuflady aplikacji, a on sam zaczyna przesyłać dane na serwer włamywacza.
Usunięte z Google Play aplikacje pozwalały śledzić niemal wszystko na telefonie
Aplikacje dawały bardzo szeroki dostęp do zasobów telefonu. Mogły zbierać dane z programów jak WeChat, Outlook, Twitter, Facebook, Gmail czy Chrome. Ponadto miały dostęp do następujących informacji z urządzenia:
- Lokalizacja
- Poziom naładowania baterii
- Pliki na urządzeniu
- Lista zainstalowanych aplikacji
- Informacje o urządzeniu
- Dane z aparatu
- Robienie zrzutów ekranu
- Dane sieci Wi-Fi
Problem może dotknąć smartfony wydane przed kwietniem 2019 roku, które są fabrycznie nowe i nie zostały jeszcze zaktualizowane. Żeby uniknąć zagrożeń w przyszłości po wyjęciu urządzenia należy je niezwłocznie zaktualizować. Aplikacje należy usunąć z poziomu ustawień, choć przy tak skomplikowanym programie może nie obyć się bez przywrócenia ustawień fabrycznych, w celu całkowitego wyeliminowania problemu. Blog Trend Micro dokładnie opisał działanie złośliwych aplikacji oraz wymienił urządzenia na których potwierdzono problem: Google Pixel (Pixel 2, Pixel 2 XL), Nokia 3 (TA-1032), LG V20 (LG-H990), Oppo F9 (CPH1881), oraz Redmi 6A.
