Исследователи нашли вредоносную программу в 10 приложениях в Google Play

ПО позволяет злоумышленникам получить доступ к банковским приложениям жертвы и полностью контролировать смартфон.

Исследователи нашли вредоносную программу в 10 приложениях в Google Play

Команда исследователей Check Point Research, подразделения Check Point Software Technologies Ltd., ведущего поставщика решений в области кибербезопасности по всему миру, обнаружила в Google Play Store новый дроппер — вредоносную программу, созданную для доставки другого вредоносного ПО на устройство жертвы. «Clast82», как его назвали исследователи, запускает вредоносное ПО, которое позволяет хакеру получить доступ к банковским приложениям жертвы и полностью контролировать смартфон. Исследователи обнаружили Clast82 в 10 «полезных» приложениях, например, с функцией VPN или записи экрана.

Как работает Clast82

Clast82 устанавливает на смартфон жертвы банковский троян AlienBot Banker, который может обходить двухфакторную аутентификацию банковских приложений. Также Clast82 оснащен мобильным трояном удаленного доступа (MRAT), позволяющим скачивать новые приложения и контролировать смартфон жертвы через TeamViewer.

Как Clast82 использует сторонние ресурсы, чтобы обойти механизмы защиты Google:

  • Firebase (сервис Google) как платформа для связи с C&C (командным сервером). Во время тестового периода Clast82 в Google Play хакер изменил конфигурацию на стороне управления и контроля, используя Firebase, а затем «отключил» вредоносное поведение Clast82 на время проверки приложения со стороны Google.
  • GitHub в качестве сторонней хостинг-платформы для загрузки полезных данных. Для публикации каждого приложения в Google Play хакер создавал новый аккаунт разработчика и репозиторий в учетной записи GitHub, что позволило ему распространять данные на устройства с установленными вредоносными приложениями.

10 приложений, содержащих Clast82

Название приложенияИмя пакета приложения
Cake VPNcom.lazycoder.cakevpns
Pacific VPNcom.protectvpn.freeapp
eVPNcom.abcd.evpnfree
BeatPlayercom.crrl.beatplayers
BeatPlayercom.crrl.beatplayers
QR/Barcode Scanner MAXcom.bezrukd.qrcodebarcode
eVPNcom.abcd.evpnfree
Music Playercom.revosleap.samplemusicplayers
tooltipnatorlibrarycom.mistergrizzlys.docscanpro
QRecordercom.record.callvoicerecorder

 

Уведомление Google

28 января 2021 года исследователи Check Point Research сообщили о находке Google. 9 февраля компания подтвердила, что все приложения, зараженные Clast82, удалены из Google Play.

«Метод, который выбрал хакер, очень изобретательный, но вызывает у нас большие опасения: злоумышленнику удалось обойти защитные механизмы Google Play, используя общедоступные сторонние ресурсы, в данном случае аккаунты GitHub и FireBase. Жертвы были уверены, что скачивают полезные приложения из официального магазина для Android, но вместо этого получили опасный троян, нацеленный на банковские приложения, — говорит Авиран Хазум, исследователь мобильных угроз в Check Point. — Механизмы скрытного обхода систем безопасности, которые используют вредоносные программы, доказывают необходимость установки дополнительных решений для защиты мобильных устройств. Обычной проверки нового приложения в магазине недостаточно, поскольку злоумышленник может с легкостью менять поведение вредоносного ПО, используя сторонние ресурсы».

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных