Check Point Research (CPR) zidentyfikowali nowy dropper (złośliwy program przeznaczony do dostarczania innego złośliwego oprogramowania na telefon ofiary) rozprzestrzeniający się w Sklepie Google Play. Clast82 instaluje na urządzeniach ofiar szkodliwe oprogramowanie drugiego etapu, które zapewnia hakerowi inwazyjny dostęp do kont finansowych ofiar, a także pełną kontrolę nad ich telefonami komórkowymi. Eksperci Check Pointa wykryli szkodnika w 10 aplikacjach użytkowych, takich jak nagrywanie ekranu czy VPN.
Clast82 ma za cel instalowanie trojana bankowego AlienBot, który atakuje aplikacje finansowe omijając ich kody uwierzytelniania dwuetapowego. Jednocześnie Clast 82 wyposażony został w trojana zdalnego dostępu zdolnego do kontrolowania urządzeń za pomocą usługi TeamViewer.
Opracowany przez hakera program wykorzystuje szereg technik, pozwalających uniknąć wykrycia przez Google Play Protect. Używa m.in. Firebase (należącego do Google) jako platformy do komunikacji C&C oraz wykorzystuje GitHub jako zewnętrzną platformę hostingową do pobierania docelowego ładunku.
Hakerzy użyli do ataków legalnych i znanych aplikacji typu open-source, takich jak Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player czy QRecorder.
Check Point Research zgłosił swoje ustalenia Google’owi 28 stycznia, natomiast 9 lutego Google oficjalnie potwierdził, że wszystkie aplikacje Clast82 zostały usunięte ze Sklepu Google Play.
– Hakerowi stojącemu za Clast82 udało się ominąć zabezpieczenia Google Play za pomocą kreatywnej, ale niepokojącej metodologii. Dzięki prostej manipulacji łatwo dostępnymi zasobami stron trzecich – takimi jak konto GitHub lub FireBase – haker był w stanie wykorzystać łatwo dostępne zasoby, aby ominąć zabezpieczenia Sklepu Google Play. Ofiary myślały, że pobierają nieszkodliwą aplikację użytkową z oficjalnego sklepu Androida, ale tak naprawdę otrzymywali niebezpiecznego trojana, który miał za cel atakowanie ich kont finansowych – mówi Avrian Hazum, menedżer działu badań mobilnych w Check Point.
Zdaniem ekspertów zdolność droppera do pozostania niewykrytym pokazuje, jak ważne jest wykorzystywanie rozwiązań zabezpieczających urządzenia mobilne. Okazuje się, że nie wystarczy jedynie skanować aplikację w okresie testowym, ponieważ cyberoszuści mogą zmieniać zachowanie aplikacji za pomocą łatwo dostępnych narzędzi innych firm.
Zgłoś naruszenie/Błąd
Pozytywnie
Neutralnie 
Negatywnie
Lubię to!
Super
Ekscytujący 
Ciekawy
Smieszny
Smutny
Wściekły
Przerażony
Szokujący
Wzruszający
Rozczarowany
Zaskoczony
Prawda
Manipulacja
Fake news
Oryginalne źródło ZOBACZ
Dodaj kanał RSS
Musisz być zalogowanym aby zaproponować nowy kanal RSS