Исследовательский институт безопасности раскрыл информацию о том, что одно из приложений использует уязвимость для незаконного доступа к частной жизни пользователей и удаленного управления.

Отечественный исследователь безопасности DarkNavy опубликовал на своем публичном сайте статью, в которой утверждает, что приложение одного из интернет-продавцов использовало лазейку в системе Android для повышения своих привилегий, таким образом получая конфиденциальность пользователей и не позволяя удалить себя.
Первая техника взлома, используемая интернет-продавцом в своем, казалось бы, безобидном приложении, заключается в использовании, казалось бы, малоизвестной, но на самом деле очень эффективной в последние годы атаки Bundle feng shui - серии уязвимостей Android Parcel serialisation and deserialisation mismatch для достижения атаки 0day/Nday, обходящей контрольную сумму системы! Первая - это возможность StartAnyWhere на системном уровне.
Получив контроль над системой мобильного телефона, приложение открывает серию несовместимых операций, обходя правила соблюдения конфиденциальности и собирая частную информацию пользователей (включая данные учетных записей социальных сетей, информацию о местоположении, информацию о Wi-Fi, информацию о базовой станции и даже информацию о маршрутизаторе и т. д.) Далее приложение использует другую технику взлома для чтения и записи системных приложений и важных файлов системных приложений, используя корневой путь FileContentProvider, экспортируемый из OEM-кода производителя мобильного телефона; таким образом прорываясь через механизм песочницы и обходя систему привилегий для перезаписи ключевых файлов конфигурации системы, чтобы сохранить свою жизнь. путь FileContentProvider, полученный из OEM-кода производителя мобильного телефона, для чтения и записи System App и чувствительных файлов системных приложений; затем прорывается через механизм песочницы, обходит систему прав, чтобы переписать ключевые файлы конфигурации системы, чтобы сохранить себя, изменить конфигурацию рабочего стола пользователя (Launcher), чтобы скрыть себя или обмануть пользователя для достижения анти-удаления; а затем далее путем перезаписи файлов динамического кода перехватывает другие приложения, чтобы внедрить бэкдор. В дальнейшем он перехватывает другие приложения, перезаписывая файлы динамического кода, чтобы внедрить код выполнения бэкдора для более скрытного долгосрочного пребывания; он даже реализует тот же механизм удаленного управления, что и шпионские программы, контролируя запуск и приостановку незаконного поведения через удаленный "переключатель облачного управления", чтобы избежать обнаружения.