Περίπου 10 εφαρμογές του Play Store έχουν καταργηθεί από τη Google, καθώς περιείχαν banking Trojan.
Σύμφωνα με μία ανάρτηση της Check Point Research (CPR), οι εφαρμογές για συσκευές Android, φαίνεται να έχουν καταχωρηθεί από τον ίδιο κακόβουλο παράγοντα, που δημιούργησε νέους λογαριασμούς για κάθε εφαρμογή.
Το Trojan dropper φορτώθηκε σε διάφορα φαινομενικά αθώα λογισμικά. Στις εφαρμογές περιλαμβάνονται οι Cake VPN, Pacific VPN, BeatPlayer, QR / Barcode Scanner MAX και QRecorder.
Προκειμένου να αποφευχθεί η ανίχνευση από τις τυπικές προστασίες ασφαλείας της Google, το Firebase χρησιμοποιήθηκε ως πλατφόρμα επικοινωνίας και ελέγχου (C2) και το GitHub χρησιμοποιήθηκε καταχρηστικά για λήψεις payload.
Σύμφωνα με τους ερευνητές, η υποδομή C2 του κρυφού dropper περιέχει παραμέτρους, ενεργοποίηση ή απενεργοποίηση, για να “αποφασίσει” εάν θα ενεργοποιήσει ή όχι τις κακόβουλες λειτουργίες της εφαρμογής. Η παράμετρος έχει οριστεί σε “false” έως ότου η Google δημοσιεύσει την εφαρμογή και στη συνέχεια ενεργοποιείται για να παγιδεύει μία συσκευή.
Το νέο Trojan dropper, που ονομάστηκε Clast82, έχει σχεδιαστεί για να παρέχει κακόβουλο λογισμικό. Μόλις ενεργοποιηθεί, τα payloads δεύτερου σταδίου βγαίνουν από το GitHub, συμπεριλαμβανομένων των mRAT και AlienBot.
“Εάν η μολυσμένη συσκευή αποτρέπει την εγκατάσταση εφαρμογών από άγνωστες πηγές, το Clast82 ζητά από το χρήστη ένα ψεύτικο αίτημα, προσποιούμενο ότι οι Υπηρεσίες Google Play ζητούν να επιτρέπει την εγκατάσταση κάθε πέντε δευτερόλεπτα“, λέει η ομάδα ασφαλείας.
Το MRAT χρησιμοποιείται για την παροχή απομακρυσμένης πρόσβασης σε μια συσκευή που έχει παραβιαστεί, ενώ το AlienBot διευκολύνει την εισαγωγή κακόβουλου κώδικα σε υπάρχουσες, νόμιμες οικονομικές εφαρμογές. Οι εισβολείς μπορούν να εισβάλουν σε τραπεζικές εφαρμογές για να αποκτήσουν πρόσβαση σε λογαριασμούς χρηστών και να κλέψουν τα οικονομικά τους δεδομένα και το κακόβουλο λογισμικό θα προσπαθήσει επίσης να υποκλέψει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA).
Οι ερευνητές ανέφεραν τις κακόβουλες εφαρμογές Trojan στην Google στις 29 Ιανουαρίου, μία ημέρα μετά την ανακάλυψή τους. Μέχρι τις 9 Φεβρουαρίου, η Google είχε επιβεβαιώσει ότι το κακόβουλο λογισμικό είχε καταργηθεί από το Play Store. Οι εφαρμογές είχαν ληφθεί περίπου 15.000 φορές.
“Ο hacker πίσω από το Clast82 μπόρεσε να παρακάμψει τις Προστασίες του Google Play χρησιμοποιώντας μία δημιουργική, αλλά ανησυχητική μεθοδολογία“, σχολίασε ο Aviran Hazum, διευθυντής έρευνας της Check Point. “Με έναν απλό χειρισμό εύκολα διαθέσιμων πόρων τρίτων – όπως ένας λογαριασμός GitHub ή ένας λογαριασμός FireBase – ο εισβολέας μπόρεσε να αξιοποιήσει τους διαθέσιμους πόρους για να παρακάμψει τις Προστασίες του Google Play Store.“
