10 aplikacji dostępnych w sklepie Google Play zostało zainfekowanych programem zaprojektowanym do dostarczania złośliwych aplikacji mobilnych. Nazywany przez badaczy firmy Check Point „Clast82”, ominął zabezpieczenia Sklepu Play, instalując szkodliwe oprogramowanie drugiego etapu, które dawało hakerowi dostęp do kont finansowych ofiar, a także zapewniało kontrolę nad ich telefonami komórkowymi.
Check Point Research (CPR) zidentyfikowali nowy dropper (złośliwy program przeznaczony do dostarczania innego złośliwego oprogramowania na telefon ofiary) rozprzestrzeniający się w Sklepie Google Play. Clast82 instaluje na urządzeniach ofiar szkodliwe oprogramowanie drugiego etapu, które zapewnia hakerowi inwazyjny dostęp do kont finansowych ofiar, a także pełną kontrolę nad ich telefonami komórkowymi. Eksperci Check Pointa wykryli szkodnika w 10 aplikacjach użytkowych, takich jak nagrywanie ekranu czy VPN.
Clast82 ma za cel instalowanie trojana bankowego AlienBot, który atakuje aplikacje finansowe omijając ich kody uwierzytelniania dwuetapowego. Jednocześnie Clast 82 wyposażony został w trojana zdalnego dostępu zdolnego do kontrolowania urządzeń za pomocą usługi TeamViewer.
Opracowany przez hakera program wykorzystuje szereg technik, pozwalających uniknąć wykrycia przez Google Play Protect. Używa m.in. Firebase (należącego do Google) jako platformy do komunikacji C&C oraz wykorzystuje GitHub jako zewnętrzną platformę hostingową do pobierania docelowego ładunku.
Hakerzy użyli do ataków legalnych i znanych aplikacji typu open-source, takich jak Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player czy QRecorder.
Check Point Research zgłosił swoje ustalenia Google’owi 28 stycznia, natomiast 9 lutego Google oficjalnie potwierdził, że wszystkie aplikacje Clast82 zostały usunięte ze Sklepu Google Play.
– Hakerowi stojącemu za Clast82 udało się ominąć zabezpieczenia Google Play za pomocą kreatywnej, ale niepokojącej metodologii. Dzięki prostej manipulacji łatwo dostępnymi zasobami stron trzecich – takimi jak konto GitHub lub FireBase – haker był w stanie wykorzystać łatwo dostępne zasoby, aby ominąć zabezpieczenia Sklepu Google Play. Ofiary myślały, że pobierają nieszkodliwą aplikację użytkową z oficjalnego sklepu Androida, ale tak naprawdę otrzymywali niebezpiecznego trojana, który miał za cel atakowanie ich kont finansowych. – mówi Avrian Hazum, menedżer działu badań mobilnych w Check Point.
Zdaniem ekspertów zdolność droppera do pozostania niewykrytym pokazuje, jak ważne jest wykorzystywanie rozwiązań zabezpieczających urządzenia mobilne. Okazuje się, że nie wystarczy jedynie skanować aplikację w okresie testowym, ponieważ cyberoszuści mogą zmieniać zachowanie aplikacji za pomocą łatwo dostępnych narzędzi innych firm.
