Sklep Play Google: 10 popularnych aplikacji instalowało trojany bankowe
09.03.2021 14:19
Zalogowani mogą więcej
Możesz zapisać ten artykuł na później. Znajdziesz go potem na swoim koncie użytkownika
Zespół firmy Check Point Research odkrył nowy dropper trojanów rozprzestrzeniany za pośrednictwem Sklepu Play. Jak ustalili eksperci, aplikacje pobierają i instalują malware AlienBot Banker i MRAT.
Clast82, bo tak nazwano nowy dropper, wykorzystuje wiele technik maskujących. Z łatwością unika wykrycia przez zabezpieczenia Google Play Protect. Nikogo to raczej nie zaskakuje, szczególnie po ubiegłorocznym rankingu AV-TEST. Zapora Google Play Protect wypadła w nim fatalnie.
AlienBot to Malware-as-a-Service (MaaS) dla urządzeń z systemem Android umożliwiający zdalnemu atakującemu wstrzyknięcie złośliwego kodu do legalnych aplikacji finansowych. W ten sposób uzyskuje dostęp do kont ofiar a także przejmuje kontrolę nad urządzeniem. W większości przypadków kończy się to wyczyszczeniem konta bankowego, ale to też nie koniec. Przestępcy mają całkowity dostęp do urządzenia, więc mogą także nagrywać swoje ofiary.
Z kolei Clast82 wykorzystuje Firebase do komunikacji C&C a także GitHub jako platformę hostingową do pobierania złośliwego ładunku. Eksperci z Check Point zwracają uwagę, że w tym momencie Google Play Protect zupełnie nie wystarcza jako rozwiązanie zabezpieczające. Nie wystarczy skanowanie aplikacji podczas okresu testowego, ponieważ może ona zaatakować w niespodziewanym momencie. Dodatkowo, złośliwy ładunek nie pochodzi z Google Play, więc ochrona Google'a nie zapobiegnie jego instalacji.
Clast82 – w których aplikacjach znajdował się dropper?
Hakerzy wykorzystali otwartoźródłowe, legalne aplikacje na Androida. Następnie dodali do nich złośliwy kod, który zapewniał funkcjonalność złośliwemu dropperowi. Przykładowo aplikacja CakeVPN była w całości oparta na kodzie dostępnym w repozytorium GitHub.
Lista usuniętych aplikacji ze Sklepu Play:
- Cake VPN
- Pacific VPN
- eVPN
- BeatPlayer
- QR/Barcode Scanner MAX
- eVPN (druga wersja)
- Music Player
- tooltipnatorlibrary
- QRecorder
Jeśli zainfekowane urządzenie uniemożliwia instalację aplikacji z nieznanych źródeł, to Clast82 wyświetla powiadomienie z fałszywym żądaniem, udając "Usługi Google Play", żądając od użytkownika zezwolenia na instalację co 5 sekund. Jak widać, ofiara jest informowana, że instalowana aplikacja nie wymaga żadnych dodatkowych uprawnień.
Po zainstalowaniu, dropper uruchamia pobrany złośliwy ładunek. W przypadku Clast82, zespół z Check Point zidentyfikował ponad 100 unikalnych rodzajów AlienBota, służących do wykradania pieniędzy z aplikacji bankowych. Wykradał zarówno hasła, jak i kody uwierzytelniające.