Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd., обнаружила в Google Play Store новый дроппер.
Это вредоносная программа, созданная для доставки другого вредоносного ПО на устройство жертвы.
«Clast82», как его назвали исследователи, запускает вредоносное ПО, которое позволяет хакеру получить доступ к банковским приложениям жертвы и полностью контролировать смартфон. Исследователи обнаружили Clast82 в 10 «полезных» приложениях, например, с функцией VPN или записи экрана.
Как работает Clast82
Clast82 устанавливает на смартфон жертвы банковский троян AlienBot Banker, который может обходить двухфакторную аутентификацию банковских приложений. Также Clast82 оснащен мобильным трояном удаленного доступа (MRAT), позволяющим скачивать новые приложения и контролировать смартфон жертвы через TeamViewer.
Как Clast82 использует сторонние ресурсы, чтобы обойти механизмы защиты Google:
- Firebase (сервис Google) как платформа для связи с C&C (командным сервером). Во время тестового периода Clast82 в Google Play хакер изменил конфигурацию на стороне управления и контроля, используя Firebase, а затем «отключил» вредоносное поведение Clast82 на время проверки приложения со стороны Google.
- GitHub в качестве сторонней хостинг-платформы для загрузки полезных данных. Для публикации каждого приложения в Google Play хакер создавал новый аккаунт разработчика и репозиторий в учетной записи GitHub, что позволило ему распространять данные на устройства с установленными вредоносными приложениями.
10 приложений, содержащих Clast82
Название приложения Имя пакета приложения
Cake VPN com.lazycoder.cakevpns
Pacific VPN com.protectvpn.freeapp
eVPN com.abcd.evpnfree
BeatPlayer com.crrl.beatplayers
BeatPlayer com.crrl.beatplayers
QR/Barcode Scanner MAX com.bezrukd.qrcodebarcode
eVPN com.abcd.evpnfree
Music Player com.revosleap.samplemusicplayers
tooltipnatorlibrary com.mistergrizzlys.docscanpro
QRecorder com.record.callvoicerecorder
Уведомление Google
28 января 2021 года исследователи Check Point Research сообщили о находке Google. 9 февраля компания подтвердила, что все приложения, зараженные Clast82, удалены из Google Play.
«Метод, который выбрал хакер, изобретательный, он вызывает у нас большие опасения: злоумышленнику удалось обойти защитные механизмы Google Play, используя общедоступные сторонние ресурсы, в данном случае аккаунты GitHub и FireBase. Жертвы были уверены, что скачивают полезные приложения из официального магазина для Android, но вместо этого получили опасный троян, нацеленный на банковские приложения, — говорит Авиран Хазум, исследователь мобильных угроз в Check Point. — Механизмы скрытного обхода систем безопасности, которые используют вредоносные программы, доказывают необходимость установки дополнительных решений для защиты мобильных устройств. Обычной проверки нового приложения в магазине недостаточно, поскольку злоумышленник может с легкостью менять поведение вредоносного ПО, используя сторонние ресурсы».
