Android Virus

V devíti aplikacích na Google Play se ukrýval nebezpečný malware Clast82

  • Dropper Clast82 nainstaluje malware, který poskytne útočníkovi plnou kontrolu nad telefonem
  • Hacker využíval snadno dostupné zdroje třetích stran, Firebase a GitHub, aby se hrozba vyhnula odhalení

Společnost Check Point odhalila v devíti aplikacích na Google Play novou závažnou bezpečnostní hrozbu. Program Dropper Clast82 do telefonu obětí dokáže nainstalovat další malware a navíc se umí vyhnout bezpečnostním mechanismům Google Play. Hackerům tím umožní získat citlivé informace.

Psali jsme: Google Camera je zázračná appka, která rapidně zlepší kvalitu vašich fotek

Clast82 instaluje bez vědomí uživatele malware AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.

Jak Clast82 útočí:

  • Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82
  • Clast82 následně komunikuje se svým velícím a řídícím serverem (C&C Server) a dostane další instrukce
  • Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů
  • Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením

Dokáže se vyhnout opatřením Google Play

Kyberzločinci využívají řadu technik, aby se Clast82 vyhnul detekci bezpečnostními mechanismy Google Play. Pro komunikaci s velícím a řídícím (C&C) serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub.

Check Point informoval o problému společnost Google 28. ledna a 9. února 2021 potvrdila, že všechny aplikace infikované dropperem Clast82 z Google Play odstranila.

Total
1
Shares