- Dropper Clast82 nainstaluje malware, který poskytne útočníkovi plnou kontrolu nad telefonem
- Hacker využíval snadno dostupné zdroje třetích stran, Firebase a GitHub, aby se hrozba vyhnula odhalení
Společnost Check Point odhalila v devíti aplikacích na Google Play novou závažnou bezpečnostní hrozbu. Program Dropper Clast82 do telefonu obětí dokáže nainstalovat další malware a navíc se umí vyhnout bezpečnostním mechanismům Google Play. Hackerům tím umožní získat citlivé informace.
Psali jsme: Google Camera je zázračná appka, která rapidně zlepší kvalitu vašich fotek
Clast82 instaluje bez vědomí uživatele malware AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.
Jak Clast82 útočí:
- Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82
- Clast82 následně komunikuje se svým velícím a řídícím serverem (C&C Server) a dostane další instrukce
- Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů
- Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením
Dokáže se vyhnout opatřením Google Play
Kyberzločinci využívají řadu technik, aby se Clast82 vyhnul detekci bezpečnostními mechanismy Google Play. Pro komunikaci s velícím a řídícím (C&C) serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub.
Check Point informoval o problému společnost Google 28. ledna a 9. února 2021 potvrdila, že všechny aplikace infikované dropperem Clast82 z Google Play odstranila.
Zdroj náhledové fotografie: harshahars / Pixabay