Была обнаружена вредоносное ПО, распространяющаяся через Google Play Store для доставки финансовых троянов. Названная Clast82, программа была обнаружена распространяющей трояны AlienBot Banker и MRAT на зараженных устройствах Android.
Введение
Clast82 выдавал себя за невинно выглядящее программное обеспечение и был обнаружен подменой десяти служебных приложений, включая Cake VPN, QRecorder, Pacific VPN, QR/Barcode Scanner MAX и BeatPlayer.
В то время как MRAT обеспечивает удаленный доступ к скомпрометированным устройствам, AlienBot используется для внедрения вредоносного кода в подлинные приложения, установленные в смартфонах.
Оба банковских трояна помогают хакерам захватывать банковские приложения, красть финансовые данные, а также перехватывать коды 2FA на устройствах жертв.
Тактика, Техника и процедуры.
Операторы этой кампании использовали несколько тактик, чтобы избежать обнаружения и обманом заставить жертв устанавливать вредоносные приложения.
Чтобы обойти защиту Google Play, злоумышленник просто манипулировал легкодоступными сторонними ресурсами, такими как учетные записи GitHub/FireBase.
Инфраструктура C2 программы скрыта и включает в себя такие параметры, как включить или отключить - чтобы выбрать или решить, когда запускать вредоносные функции приложения по мере необходимости.
Если устройство предотвращает установку приложений из неизвестных источников, оно показывает пользователю поддельный запрос, притворяющийся от сервисов Google Play, чтобы разрешить установку каждые пять секунд.
Заключение :
Совершенно очевидно, что нападавшие имеют финансовые мотивы. Эта угроза может оказаться фатальной для пользователей, которые используют мобильный банкинг для своих ежедневных операций и получают обман за свои с трудом заработанные деньги. По этим причинам аналитики безопасности рекомендуют установить на своих устройствах антивирусное приложение. Тем временем Google подтвердила удаление вредоносного ПО из Play Store.
