Sklep Play Google: 10 popularnych aplikacji instalowało trojany bankowe

Zespół firmy Check Point Research odkrył nowy dropper trojanów rozprzestrzeniany za pośrednictwem Sklepu Play. Jak ustalili eksperci, aplikacje pobierają i instalują malware AlienBot Banker i MRAT.

Kolejne trojany w Sklepie Play /fot. shutterstock
Kolejne trojany w Sklepie Play /fot. shutterstock
Arkadiusz Stando

Clast82, bo tak nazwano nowy dropper, wykorzystuje wiele technik maskujących. Z łatwością unika wykrycia przez zabezpieczenia Google Play Protect. Nikogo to raczej nie zaskakuje, szczególnie po ubiegłorocznym rankingu AV-TEST. Zapora Google Play Protect wypadła w nim fatalnie.

AlienBot to Malware-as-a-Service (MaaS) dla urządzeń z systemem Android umożliwiający zdalnemu atakującemu wstrzyknięcie złośliwego kodu do legalnych aplikacji finansowych. W ten sposób uzyskuje dostęp do kont ofiar a także przejmuje kontrolę nad urządzeniem. W większości przypadków kończy się to wyczyszczeniem konta bankowego, ale to też nie koniec. Przestępcy mają całkowity dostęp do urządzenia, więc mogą także nagrywać swoje ofiary.

Z kolei Clast82 wykorzystuje Firebase do komunikacji C&C a także GitHub jako platformę hostingową do pobierania złośliwego ładunku. Eksperci z Check Point zwracają uwagę, że w tym momencie Google Play Protect zupełnie nie wystarcza jako rozwiązanie zabezpieczające. Nie wystarczy skanowanie aplikacji podczas okresu testowego, ponieważ może ona zaatakować w niespodziewanym momencie. Dodatkowo, złośliwy ładunek nie pochodzi z Google Play, więc ochrona Google'a nie zapobiegnie jego instalacji.

Obraz

Clast82 – w których aplikacjach znajdował się dropper?

Hakerzy wykorzystali otwartoźródłowe, legalne aplikacje na Androida. Następnie dodali do nich złośliwy kod, który zapewniał funkcjonalność złośliwemu dropperowi. Przykładowo aplikacja CakeVPN była w całości oparta na kodzie dostępnym w repozytorium GitHub.

Lista usuniętych aplikacji ze Sklepu Play:

  • Cake VPN
  • Pacific VPN
  • eVPN
  • BeatPlayer
  • QR/Barcode Scanner MAX
  • eVPN (druga wersja)
  • Music Player
  • tooltipnatorlibrary
  • QRecorder
Obraz

Jeśli zainfekowane urządzenie uniemożliwia instalację aplikacji z nieznanych źródeł, to Clast82 wyświetla powiadomienie z fałszywym żądaniem, udając "Usługi Google Play", żądając od użytkownika zezwolenia na instalację co 5 sekund. Jak widać, ofiara jest informowana, że instalowana aplikacja nie wymaga żadnych dodatkowych uprawnień.

Obraz

Po zainstalowaniu, dropper uruchamia pobrany złośliwy ładunek. W przypadku Clast82, zespół z Check Point zidentyfikował ponad 100 unikalnych rodzajów AlienBota, służących do wykradania pieniędzy z aplikacji bankowych. Wykradał zarówno hasła, jak i kody uwierzytelniające.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (61)