最近,CheckPointResearch在官方GooglePlay商店中的九个Android应用程序中发现了一种新型植入程序。该恶意软件允许攻击者访问受害者的财务账户并完全控制他们的手机。在收到CheckPointSoftwareTechnologies的通知后,谷歌从GooglePlay商店中删除了这些应用程序。CheckPoint调查结果CheckPointResearch(CPR)最近发现了一种通过GooglePlay商店传播的新植入物。这个名为Clast82的植入程序能够逃避GooglePlayProtect的检测,成功通过评估期,并将有效载荷从非恶意有效载荷更改为AlienBotBanker和MRAT。AlienBot恶意软件家族是一种针对Android设备的恶意软件即服务(MaaS),允许远程攻击者将恶意代码注入合法的金融应用程序。攻击者能够访问受害者的帐户并最终完全控制他们的设备。一旦控制了设备,攻击者就可以像实际拥有设备一样控制某些功能,例如在设备上安装新的应用程序,甚至使用TeamViewer进行远程控制。在CheckPointResearch向Android安全团队报告其调查结果后,谷歌确认所有Clast82应用程序已从GooglePlay商店中删除。在GooglePlay上的Clast82评估期间,从FirebaseC&C发送的配置包含一个“启用”参数。根据参数的值,恶意软件将“决定”是否触发恶意行为。只有在Google在GooglePlay上发布Clast82恶意软件后,该参数才被设置为“false”并更改为“true”。该恶意软件设法逃避了检测,这证明了拥有移动安全解决方案的重要性。在评估期间扫描应用程序是不够的,因为攻击者将使用第三方工具来改变应用程序的行为。由于Clast82植入的payload并非来自GooglePlay,因此在提交审核之前扫描应用程序实际上并不能阻止恶意payload的安装。CheckPoint最近推出的HarmonyMobile(前身为SandBlastMobile)提供了一系列易于部署、管理和扩展的功能,以全面保护移动员工。HarmonyMobile有效防御所有移动攻击媒介,既可以监控设备本身,也可以通过应用程序不断扫描网络连接,以检测和防御此类威胁。附表:恶意植入:
