Nebezpečný malware se ukrýval v 9 aplikacích na Google Play

  • Hacker využíval snadno dostupné zdroje třetích stran, Firebase a GitHub, aby se hrozba vyhnula odhalení pomocí bezpečnostních mechanismů Google Play
  • Dropper Clast82 nainstaluje malware, který dokáže obejít dvoufaktorovou autentizaci a poskytne útočníkovi přístup k finančním účtům i plnou kontrolu nad telefonem oběti

PRAHA – 9. března 2021 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, odhalil v 9 aplikacích na Google Play novou hrozbu. Dropper Clast82 je škodlivý program, který do telefonu obětí dokáže nainstalovat další malware, a navíc se umí vyhnout bezpečnostním mechanismům Google Play. Hackeři s pomocí dropperu Clast82 získali přístup k finančním účtům obětí i kontrolu nad jejich mobilními telefony.

Interface gráfica do usuário  Descrição gerada automaticamente
image (7)
Interface gráfica do usuário, Aplicativo  Descrição gerada automaticamente

Clast82 nainstaluje do mobilního zařízení malware jako službu AlienBot Banker, který cílí na finanční aplikace a dokáže obejít dokonce i zabezpečení pomocí dvoufaktorových autentizačních kódů. Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.

Check Point zjednodušeně ukázal, jak Clast82 útočí:

  1. Na začátku si oběť stáhne z Google Play nějakou aplikaci obsahující i škodlivý kód Clast82.
  2. Clast82 následně komunikuje se svým velícím a řídícím serverem (C&C Server) a dostane další instrukce.
  3. Následně na zařízení stáhne a nainstaluje další hrozbu, v tomto případě AlienBot Banker, což je malware jako služba zaměřený na finanční aplikace a krádeže přihlašovacích údajů a ověřovacích kódů.
  4. Hacker tak získá přístup k finančním účtům obětí a zároveň má útočník plnou kontrolu nad infikovaným zařízením.

Kyberzločinci využívají řadu technik, aby se Clast82 vyhnul detekci bezpečnostními mechanismy Google Play.

  • Pro komunikaci s velícím a řídícím (C&C) serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, hacker změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření.
  • Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub. Hacker tak může distribuovat další škodlivý obsah na všechna zařízení infikovaná jednotlivými škodlivými aplikacemi.

Hacker infikoval známé open-source aplikace pro Android:

Název aplikaceNázev balíčku
Cake VPNcom.lazycoder.cakevpns
Pacific VPNcom.protectvpn.freeapp
eVPNcom.abcd.evpnfree
BeatPlayercom.crrl.beatplayers
QR/Barcode Scanner MAXcom.bezrukd.qrcodebarcode
eVPNcom.abcd.evpnfree
Music Playercom.revosleap.samplemusicplayers
tooltipnatorlibrarycom.mistergrizzlys.docscanpro
QRecordercom.record.callvoicerecorder

Check Point informoval společnost Google 28. ledna 2021. 9. února 2021 Google potvrdil, že všechny aplikace infikované dropperem Clast82 byly z Google Play odstraněny.

„Hacker, který stojí za mobilní hrozbou Clast82, dokázal obelstít ochranu Google Play kreativním a zároveň znepokojivým způsobem. Jednoduše manipuloval snadno dostupnými zdroji třetích stran, jako jsou účty na GitHub nebo FireBase. Oběti si myslely, že stahují neškodnou utilitu z oficiálního obchodu pro Android, ale ve skutečnosti si stáhly také nebezpečný trojan, který cílil na finanční účty. Hrozba se dokázala vyhnout odhalení, což znovu ukazuje, proč je potřeba používat nějaké pokročilé preventivní mobilní bezpečnostní řešení. Nestačí jen aplikaci oskenovat při stahování, protože kyberzločinci mohou, a budou, měnit její chování pomocí snadno dostupných nástrojů třetích stran,“ říká Petr Kadrmas, Security Engineer Eastern Europe v kyberbezpečnostní společnosti Check Point.

Pro ochranu před mobilními útoky a škodlivými aplikacemi používejte například pokročilé bezpečnostní řešení Harmony Mobile, které vás jednoduše ochrání před všemi hrozbami.

Více informací najdete v analýze kyberbezpečnostní společnosti Check Point:

https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/ 

Twitter: https://twitter.com/_cpresearch_ 

Sledujte novinky o společnosti Check Point:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com 
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research 

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.