В 10 приложениях в Google Play обнаружен опасный дроппер

12:09, 12 марта. Автор:

Компания Check Point Research, занимающаяся вопросами кибербезопасности, сообщила об обнаружении в Google Play Store нового дроппера — вредоносной программы, созданной для доставки другого вредоносного ПО на устройство жертвы. «Clast82», как его назвали исследователи, запускает вредоносное ПО, которое позволяет хакеру получить доступ к банковским приложениям жертвы и полностью контролировать смартфон. Исследователи обнаружили Clast82 в 10 «полезных» приложениях, например, с функцией VPN или записи экрана.

Clast82 устанавливает на смартфон жертвы банковский троян AlienBot Banker, который может обходить двухфакторную аутентификацию банковских приложений. Также Clast82 оснащен мобильным трояном удаленного доступа (MRAT), позволяющим скачивать новые приложения и контролировать смартфон жертвы через TeamViewer.

Как Clast82 использует сторонние ресурсы, чтобы обойти механизмы защиты Google:

  • Firebase (сервис Google) как платформа для связи с C&C (командным сервером). Во время тестового периода Clast82 в Google Play хакер изменил конфигурацию на стороне управления и контроля, используя Firebase, а затем «отключил» вредоносное поведение Clast82 на время проверки приложения со стороны Google.
  • GitHub в качестве сторонней хостинг-платформы для загрузки полезных данных. Для публикации каждого приложения в Google Play хакер создавал новый аккаунт разработчика и репозиторий в учетной записи GitHub, что позволило ему распространять данные на устройства с установленными вредоносными приложениями.

10 приложений, содержащих Clast82:

Clast82

28 января 2021 года исследователи Check Point Research сообщили о находке Google. 9 февраля компания подтвердила, что все приложения, зараженные Clast82, удалены из Google Play.