9 Aplikácie pre Android na Google Play zachytili distribúciu AlienBot Banker a MRAT Malware

Výskumníci v oblasti kybernetickej bezpečnosti objavili nový kvapkadlo škodlivého softvéru, ktoré obsahuje toľko ako 9 Aplikácie pre Android distribuované prostredníctvom Google Play Store ktorý nasadzuje malvér druhej fázy schopný získať rušivý prístup k finančným účtom obetí, ako aj plnú kontrolu nad ich zariadeniami.

„Toto dropper s názvom Clast82 využíva sériu techník, aby sa zabránilo detekcii pomocou detekcie Google Play Protect, úspešne dokončí testovacie obdobie a zmení užitočné zaťaženie, ktoré nebolo škodlivé pre AlienBot Banker a MRAT,“ výskumníci Check Point Aviran. Hazum, Bohdan Melnykov a Israel Wernik uviedli v dnes zverejnenom príspevku.

Aplikácie, ktoré boli použité pre kampaň, zahŕňajú Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnator a QRecorder. Po tom, čo boli zistenia 28. januára oznámené spoločnosti Google, boli nečestné aplikácie vo februári z Obchodu Play odstránené 9.

Autori malvéru sa uchýlili k rôznym metódam na obídenie mechanizmov preverovania obchodu s aplikáciami. Či už ide o používanie šifrovania na skrytie reťazcov pred analytickými nástrojmi, vytváranie nečestných verzií legitímnych aplikácií alebo vytváranie falošných recenzií s cieľom nalákať používateľov na stiahnutie aplikácií, podvodníci vracajú pokusy spoločnosti Google o zabezpečenie platformy neustálym vývojom nových techník na prekĺznutie. sieť.

Rovnako populárne sú aj ďalšie metódy, ako je vytváranie verzií, ktoré sa týka nahrania čistej verzie aplikácie do Obchodu Play, aby sa vybudovala dôvera medzi používateľmi, a následného tajného pridávania nechceného kódu v neskoršej fáze prostredníctvom aktualizácií aplikácie a začlenenia oneskorení na spustenie škodlivú funkciu v snahe vyhnúť sa detekcii spoločnosťou Google.

Clast82 sa nijako nelíši v tom, že využíva Firebase ako platformu na komunikáciu príkazov a ovládania (C2) a využíva GitHub na sťahovanie škodlivých dát, navyše využíva legitímne a známe open source aplikácie pre Android na vloženie funkcie Dropper. .

“Pre každú aplikáciu herec vytvoril nového vývojárskeho používateľa pre obchod Google Play spolu s úložiskom na hercovom účte GitHub, čo hercovi umožnilo distribuovať rôzne užitočné zaťaženia do zariadení, ktoré boli infikované každou škodlivou aplikáciou,” uviedli vedci. .

Napríklad sa zistilo, že škodlivá aplikácia Cake VPN je založená na verzii svojho menovca s otvoreným zdrojom, ktorú vytvoril vývojár z Dháky menom Syed Ashraf Ullah. Keď je však aplikácia spustená, využíva databázu Firebase v reálnom čase na získanie cesty k užitočnému zaťaženiu z GitHub, ktorá sa potom nainštaluje do cieľového zariadenia.

V prípade, že bola vypnutá možnosť inštalovať aplikácie z neznámych zdrojov, Clast82 opakovane vyzýva používateľa každých päť sekúnd falošnou výzvou „Google Play Services“, aby povolenie povolil, a nakoniec ho použije na inštaláciu AlienBot, Android banking MaaS ( malware-as-a-service) schopný ukradnúť prihlasovacie údaje a dvojfaktorové overovacie kódy z finančných aplikácií.

Minulý mesiac sa populárna aplikácia na skenovanie čiarových kódov s viac ako 10 miliónmi inštalácií stala nečestnou jedinou aktualizáciou po tom, čo jej vlastník zmenil majiteľa. V podobnom vývoji bolo rozšírenie prehliadača Chrome s názvom The Great Suspender deaktivované po správach, že doplnok tajne pridal funkcie, ktoré by sa dali využiť na spustenie ľubovoľného kódu zo vzdialeného servera.

„Hacker za Clast82 dokázal obísť ochranu Google Play pomocou kreatívnej, no znepokojujúcej metodológie,“ povedal Hazum. „Pomocou jednoduchej manipulácie s ľahko dostupnými zdrojmi tretích strán – ako je účet GitHub alebo účet FireBase – dokázal hacker využiť ľahko dostupné zdroje na obídenie Google Play Storeochrany. Obete si mysleli, že si sťahujú neškodnú utilitnú aplikáciu z oficiálneho Android Marketu, ale v skutočnosti dostali nebezpečný trójsky kôň, ktorý prišiel priamo na ich finančné účty.“