Κακόβουλες εφαρμογές του Google Play τοποθετούν Trojan σε συσκευές

On

Μαρ 9, 2021

Περίπου 10

εφαρμογές

του

Play Store

έχουν καταργηθεί από τη

Google

, καθώς περιείχαν banking

Trojan

.

Trojans min - Κακόβουλες εφαρμογές του Google Play τοποθετούν Trojan σε συσκευές

Σύμφωνα με μία

ανάρτηση

της

Check Point

Research

(CPR)

, οι

εφαρμογές

για

συσκευές

Android

, φαίνεται να έχουν καταχωρηθεί από τον ίδιο κακόβουλο παράγοντα, που δημιούργησε νέους

λογαριασμούς

για κάθε

εφαρμογή

.

Το

Trojan

dropper φορτώθηκε σε διάφορα φαινομενικά αθώα λογισμικά. Στις

εφαρμογές

περιλαμβάνονται οι

Cake VPN

,

Pacific VPN

,

BeatPlayer, QR /

Barcode

Scanner MAX

και

QRecorder

.

Προκειμένου να αποφευχθεί η ανίχνευση από τις τυπικές προστασίες

ασφαλείας

της

Google

, το Firebase χρησιμοποιήθηκε ως

πλατφόρμα

επικοινωνίας και ελέγχου (C2) και το GitHub χρησιμοποιήθηκε καταχρηστικά για λήψεις payload.

Σύμφωνα με τους ερευνητές, η υποδομή C2 του κρυφού dropper περιέχει παραμέτρους, ενεργοποίηση ή απενεργοποίηση, για να “αποφασίσει” εάν θα ενεργοποιήσει ή όχι τις κακόβουλες λειτουργίες της εφαρμογής. Η παράμετρος έχει οριστεί σε “false” έως ότου η

Google

δημοσιεύσει την

εφαρμογή

και στη συνέχεια ενεργοποιείται για να παγιδεύει μία συσκευή.

Το νέο

Trojan

dropper, που ονομάστηκε

Clast82

, έχει σχεδιαστεί για να παρέχει κακόβουλο λογισμικό. Μόλις ενεργοποιηθεί, τα payloads δεύτερου σταδίου βγαίνουν από το GitHub, συμπεριλαμβανομένων των

mRAT

και

AlienBot

.

Trojan min - Κακόβουλες εφαρμογές του Google Play τοποθετούν Trojan σε συσκευές

“

Εάν η μολυσμένη συσκευή αποτρέπει την εγκατάσταση εφαρμογών από άγνωστες πηγές, το Clast82 ζητά από το χρήστη ένα ψεύτικο αίτημα, προσποιούμενο ότι οι Υπηρεσίες

Google

Play ζητούν να επιτρέπει την εγκατάσταση κάθε πέντε δευτερόλεπτα

“, λέει η ομάδα

ασφαλείας

.

Το MRAT χρησιμοποιείται για την παροχή απομακρυσμένης πρόσβασης σε μια συσκευή που έχει παραβιαστεί, ενώ το AlienBot διευκολύνει την εισαγωγή κακόβουλου κώδικα σε υπάρχουσες, νόμιμες οικονομικές

εφαρμογές

. Οι εισβολείς μπορούν να εισβάλουν σε τραπεζικές

εφαρμογές

για να αποκτήσουν πρόσβαση σε

λογαριασμούς

χρηστών και να κλέψουν τα οικονομικά τους δεδομένα και το κακόβουλο λογισμικό θα προσπαθήσει επίσης να υποκλέψει κωδικούς ελέγχου ταυτότητας δύο παραγόντων (2FA).

Οι ερευνητές ανέφεραν τις κακόβουλες

εφαρμογές

Trojan

στην

Google

στις 29 Ιανουαρίου, μία ημέρα μετά την ανακάλυψή τους. Μέχρι τις 9 Φεβρουαρίου, η

Google

είχε επιβεβαιώσει ότι το κακόβουλο λογισμικό είχε καταργηθεί από το

Play Store

. Οι

εφαρμογές

είχαν ληφθεί περίπου 15.000 φορές.

“

Ο

hacker

πίσω από το Clast82 μπόρεσε να παρακάμψει τις Προστασίες του

Google

Play χρησιμοποιώντας μία δημιουργική, αλλά ανησυχητική μεθοδολογία

“, σχολίασε ο

Aviran Hazum

, διευθυντής έρευνας της

Check Point

. “

Με έναν απλό χειρισμό εύκολα διαθέσιμων πόρων τρίτων – όπως ένας

λογαριασμός

GitHub ή ένας

λογαριασμός

FireBase – ο εισβολέας μπόρεσε να αξιοποιήσει τους διαθέσιμους πόρους για να παρακάμψει τις Προστασίες του

Google

Play Store

.

“