信息化觀察網(wǎng)

Check Point研究人員近日發(fā)現(xiàn)了一款通過谷歌官方應(yīng)用商店來傳播的釋放器惡意軟件——Clast82，該釋放器是用來下載和安裝AlienBot銀行木馬和MRAT。Clast82釋放器使用了一系列的技術(shù)來繞過谷歌Play應(yīng)用商店的保護檢測，在成功完成評估后，會將payload從非惡意的payload修改為AlienBot銀行木馬和MRAT。

AlienBot惡意軟件家族是一種針對安卓設(shè)備的惡意軟件即服務(wù)（Malware-as-a-Service，MaaS)。首先，遠程攻擊者利用該服務(wù)可以注入惡意代碼到合法的金融應(yīng)用中；然后，獲取受害者賬戶的訪問權(quán)限，最后完全控制該設(shè)備。在控制了設(shè)備后，攻擊者就可以控制特定的函數(shù)，就好像可以物理接觸手機設(shè)備一樣。

攻擊活動中使用的9款安卓APP包括Cake VPN、Pacific VPN、eVPN、BeatPlayer、QR/Barcode Scanner MAX、Music Player、tooltipnatorlibrary和QRecorder。1月28日，研究人員將相關(guān)發(fā)現(xiàn)報告給了谷歌，2月9日，谷歌從官方應(yīng)用商店移除了以上惡意應(yīng)用程序。

惡意軟件作者使用了許多方法來繞過應(yīng)用商店的安全檢查機制。Clast82使用Firebase作為C2通信平臺，并使用GitHub來下載惡意payload，此外，還利用合法和已知的開源安卓應(yīng)用來插入Dropper功能。

對每個應(yīng)用，惡意軟件作者都會在谷歌應(yīng)用商店中創(chuàng)建一個新的開發(fā)者用戶，并創(chuàng)建一個GitHub賬戶，這樣該開發(fā)者用戶就可以分發(fā)不同的payload給每個惡意應(yīng)用感染的設(shè)備了。比如，惡意Cake VPN app就是基于同名的開源軟件。該APP啟動后，就會利用Firebase實時數(shù)據(jù)庫來提取GitHub上的payload路徑，然后下載和安裝在目標設(shè)備上。

如果從未知源下載APP的選項沒有開啟，Clast82就會每隔5秒向用戶彈出虛假的"Google Play Services"彈窗來誘使用戶開啟該權(quán)限，最后用它來安裝安卓銀行木馬MaaS——AlienBot，AlienBot可以從金融APP中竊取憑證和雙因子認證碼信息。

研究人員稱，Clast82背后的開發(fā)者使用第三方源來繞過谷歌應(yīng)用商店保護的方式非常新穎。受害者當(dāng)時下載和安裝的是從官方應(yīng)用市場下載的非惡意應(yīng)用，但是之后會安裝的是竊取隱私信息的木馬。

完整研究報告參見：https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/

本文翻譯自：https://thehackernews.com/2021/03/9-android-apps-on-google-play-caught.html