Sklep Play Google: 10 popularnych aplikacji instalowało trojany bankowe
Zespół firmy Check Point Research odkrył nowy dropper trojanów rozprzestrzeniany za pośrednictwem Sklepu Play. Jak ustalili eksperci, aplikacje pobierają i instalują malware AlienBot Banker i MRAT.
Clast82, bo tak nazwano nowy dropper, wykorzystuje wiele technik maskujących. Z łatwością unika wykrycia przez zabezpieczenia Google Play Protect. Nikogo to raczej nie zaskakuje, szczególnie po ubiegłorocznym rankingu AV-TEST. Zapora Google Play Protect wypadła w nim fatalnie.
AlienBot to Malware-as-a-Service (MaaS) dla urządzeń z systemem Android umożliwiający zdalnemu atakującemu wstrzyknięcie złośliwego kodu do legalnych aplikacji finansowych. W ten sposób uzyskuje dostęp do kont ofiar a także przejmuje kontrolę nad urządzeniem. W większości przypadków kończy się to wyczyszczeniem konta bankowego, ale to też nie koniec. Przestępcy mają całkowity dostęp do urządzenia, więc mogą także nagrywać swoje ofiary.
Z kolei Clast82 wykorzystuje Firebase do komunikacji C&C a także GitHub jako platformę hostingową do pobierania złośliwego ładunku. Eksperci z Check Point zwracają uwagę, że w tym momencie Google Play Protect zupełnie nie wystarcza jako rozwiązanie zabezpieczające. Nie wystarczy skanowanie aplikacji podczas okresu testowego, ponieważ może ona zaatakować w niespodziewanym momencie. Dodatkowo, złośliwy ładunek nie pochodzi z Google Play, więc ochrona Google'a nie zapobiegnie jego instalacji.
Clast82 – w których aplikacjach znajdował się dropper?
Hakerzy wykorzystali otwartoźródłowe, legalne aplikacje na Androida. Następnie dodali do nich złośliwy kod, który zapewniał funkcjonalność złośliwemu dropperowi. Przykładowo aplikacja CakeVPN była w całości oparta na kodzie dostępnym w repozytorium GitHub.
Lista usuniętych aplikacji ze Sklepu Play:
- Cake VPN
- Pacific VPN
- eVPN
- BeatPlayer
- QR/Barcode Scanner MAX
- eVPN (druga wersja)
- Music Player
- tooltipnatorlibrary
- QRecorder
Jeśli zainfekowane urządzenie uniemożliwia instalację aplikacji z nieznanych źródeł, to Clast82 wyświetla powiadomienie z fałszywym żądaniem, udając "Usługi Google Play", żądając od użytkownika zezwolenia na instalację co 5 sekund. Jak widać, ofiara jest informowana, że instalowana aplikacja nie wymaga żadnych dodatkowych uprawnień.
Po zainstalowaniu, dropper uruchamia pobrany złośliwy ładunek. W przypadku Clast82, zespół z Check Point zidentyfikował ponad 100 unikalnych rodzajów AlienBota, służących do wykradania pieniędzy z aplikacji bankowych. Wykradał zarówno hasła, jak i kody uwierzytelniające.