برای اولین بار از یک #آسیبپذیری استفاده پس از آزادسازی #(use-after-free) بهطور گسترده در حملات استفاده شده است. این آسیبپذیری که با شناسهی CVE-2019-2215 ردیابی میشود در ماه اکتبر سال 2019 توسط محققان Google Project Zero به عنوان یک آسیبپذیری روزصفرم افشا شد. این نقص ابتدا در ماه دسامبر سال 2017 در هستهی Linux 4.14، هستهی 3.18 پروژهی متنباز اندروید (AOSP)، هستهی AOSP 4.4 و هستهی AOSP 4.9 برطرف شده بود. دو سال بعد، این آسیبپذیری همچنان Pixel 2؛ Pixel 1؛ Huawei P20؛ Xiaomi Redmi 5A؛ Redmi Note 5 و A1؛ Oppo A3؛ گوشیهای LG دارای اندروید Oreo و گوشیهای سامسونگ مدلهای Galaxy S7,S8 و S9 را تحتتأثیر قرار میداد.
گوگل وصلههایی برای این نقص در مجموعه اصلاحات اندرویدی ماه اکتبر سال 2019 منتشر ساخت.
بنا به اطلاعات جمعآوری شده توسط کارشناسان، از این آسیبپذیری سوءاستفاده شده است. این آسیبپذیری توسط شرکت باجافزاری اسرائیل، NSO (معروف به ساختن بدافزار iOS مشهور Pegasus) سوءاستفاده شده است و از آن برای نصب یک نسخه از Pegasus سوءاستفاده میکند.
اکنون محققان دریافتهاند سه برنامهی مخرب که از ماه مارس سال 2019 در فروشگاه Google Play در دسترس بوده است، بهمنظور به خطر انداختن دستگاه کاربر و جمعآوری اطلاعات با هم کار میکنند. یکی از این برنامهها که Camero نامیده میشود از آسیبپذیری CVE-2019-2215 سوءاستفاده میکند. این آسیبپذیری در Binder (اصلیترین سیستم ارتباطی درونفرایندی اندروید) وجود دارد. بررسیهای بیشتر نشان میدهد که هر سهی این برنامهها مربوط به گروه تهدید SideWinder (فعالیت خود را از سال 2012 آغاز کرده و ماشینهای ویندوزی موجودیتهای ارتش را هدف قرار میدهد) هستند. این سه برنامه از این جهت به گروه SideWinder نسبت داده شدهاند که به نظر میرسد کارگزارهای C&C استفاده شده مربوط به بخشی از ساختار SideWinder باشند. علاوهبراین، یک URL که به یکی از صفحات Google Play این برنامهها لینک میخورد نیز در یکی از این کارگزارهای C&C یافت شده است.
- 7