Groźny malware w postaci trojanów AlienBot Banker i MRAT przejmował kontrolę nad urządzeniami użytkowników. Instalowany był za pośrednictwem sklepu Play.
AlienBot to Malware-as-a-Service (MaaS) dla urządzeń z systemem Android. Pozwala atakującemu zdalnie zaimplementować złośliwy kod do legalnej aplikacji finansowej i przejąć kontrolę nad urządzeniem. Najczęściej efektem jest kradzież pieniędzy z konta, ale możliwe jest też nagrywanie ofiary dzięki pełnemu dostępowi do jej urządzenia.
Rozprzestrzenianie w ten sposób trojanów odkrył zespół firmy Check Point Research. Nowy dropper trojanów nazwano Clast82. Wykorzystuje on Firebase do komunikacji C&C oraz GitHub jako platformę hostingową do pobierania złośliwego oprogramowania. Wykorzystuje też techniki maskujące dzięki czemu unika wykrycia przez zabezpieczenia Google Play Protect. Eksperci z Check Point uznali to zabezpieczenie za niewystarczające, gdyż skanowanie aplikacji podczas okresu testowego nie jest dobrą ochroną. Dodatkowo fakt, że trojan nie pochodzi z Google Play sprawia, ze ochrona Googla nie zapobiegnie jego instalacji. Hakerzy wykorzystali otwartoźródłowe, legalne aplikacje na Androida, do których dodali złośliwy kod. Np.aplikacja CakeVPN była w całości oparta na kodzie dostępnym w repozytorium GitHub.
W celu ochrony użytkowników ze Sklepu Play usunięto aplikacje: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, eVPN (druga wersja), Music Player, tooltipnatorlibrary i QRecorder.
W przypadku urządzenia, które nie pozwala na instalację aplikacji z nieznanych źródeł, Clast82 podszywa się pod “Usługi Google Play” żądając zgody na instalację.
Zespół Chech Point zidentyfikował w przypadku Clast82 ponad 100 rodzajów AlienBota. Służyły one do kradzieży pieniędzy przez aplikacje bankowe. Wykradały hasło oraz kody uwierzytelniające.
Rozprzestrzenianie trojanów odkrył zespół firmy Check Point Research. Nowy dropper Trojanów nazwano Clast82.
Źródło: www.dobreprogramy.pl