CheckPoint研究人员最近发现了一种植入式恶意软件Clast82,它用于下载和安装通过官方GooglePlay商店分发的AlienBot银行木马。和MRAT。Clast82植入程序使用一系列技术绕过GooglePlay应用商店保护,并在成功评估后将有效负载从非恶意有效负载修改为AlienBot银行木马和MRAT。AlienBot恶意软件家族是一种针对Android设备的恶意软件即服务(MaaS)。首先,远程攻击者可以使用该服务将恶意代码注入合法的金融应用程序;然后,获得对受害者账户的访问权限,最终完全控制该设备。一旦控制了设备,攻击者就可以控制特定功能,就好像他们可以物理访问设备一样。攻击中使用的九个Android应用程序包括CakeVirtualNetwork、PacificVirtualNetwork、eVirtualNetwork、BeatPlayer、QR/BarcodeScannerMAX、MusicPlayer、tooltipnatorlibrary和QRecorder。1月28日,研究人员向谷歌报告了调查结果,2月9日,谷歌从官方应用商店下架了上述恶意应用。恶意软件作者使用多种方法来绕过应用商店安全检查。Clast82使用Firebase作为C2通信平台和GitHub下载恶意负载,还利用合法和已知的开源Android应用程序插入植入功能。对于每个应用程序,恶意软件作者在GooglePlay商店中创建一个新的开发者用户并创建一个GitHub帐户,以便开发者用户可以向每个感染恶意应用程序的设备分发不同的负载。例如,恶意Cake虚拟网络应用程序基于同名开源软件。应用程序启动后,它会利用Firebase实时数据库在GitHub上提取有效负载路径,然后将其下载并安装到目标设备上。如果不开启未知来源下载APP选项,Clast82会每隔5秒向用户弹出一个假冒的“GooglePlay服务”弹窗,引诱用户开启权限,最后用它来安装Android银行木马MaaS-AlienBot,AlienBot可以从金融应用程序中窃取凭据和双因素身份验证代码信息。据研究人员称,Clast82背后的开发人员正在使用第三方来源以一种新颖的方式绕过GooglePlay商店的保护。受害者当时下载安装的是从官方应用市场下载的非恶意应用,而后面安装的是窃取隐私信息的木马。完整研究报告见:https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/本文翻译来自:https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html如有转载请注明原文地址。
