Команда исследователей Check Point Research, подразделения Check Point® Software Technologies Ltd. (NASDAQ: CHKP), ведущего поставщика решений в области кибербезопасности по всему миру, обнаружила в Google Play Store новый дроппер — вредоносную программу, созданную для доставки другого вредоносного ПО на устройство жертвы. «Clast82», как его назвали исследователи, запускает вредоносное ПО, которое позволяет хакеру получить доступ к банковским приложениям жертвы и полностью контролировать смартфон. Исследователи обнаружили Clast82 в 10 «полезных» приложениях, например, с функцией VPN или записи экрана.
Как работает Clast82
Clast82 устанавливает на смартфон жертвы банковский троян AlienBot Banker, который может обходить двухфакторную аутентификацию банковских приложений. Также Clast82 оснащен мобильным трояном удаленного доступа (MRAT), позволяющим скачивать новые приложения и контролировать смартфон жертвы через TeamViewer.
Как Clast82 использует сторонние ресурсы, чтобы обойти механизмы защиты Google:
- Firebase (сервис Google) как платформа для связи с C&C (командным сервером). Во время тестового периода Clast82 в Google Play хакер изменил конфигурацию на стороне управления и контроля, используя Firebase, а затем «отключил» вредоносное поведение Clast82 на время проверки приложения со стороны Google.
- GitHub в качестве сторонней хостинг-платформы для загрузки полезных данных. Для публикации каждого приложения в Google Play хакер создавал новый аккаунт разработчика и репозиторий в учетной записи GitHub, что позволило ему распространять данные на устройства с установленными вредоносными приложениями.
10 приложений, содержащих Clast82
| Название приложения | Имя пакета приложения |
| Cake VPN | com.lazycoder.cakevpns |
| Pacific VPN | com.protectvpn.freeapp |
| eVPN | com.abcd.evpnfree |
| BeatPlayer | com.crrl.beatplayers |
| BeatPlayer | com.crrl.beatplayers |
| QR/Barcode Scanner MAX | com.bezrukd.qrcodebarcode |
| eVPN | com.abcd.evpnfree |
| Music Player | com.revosleap.samplemusicplayers |
| tooltipnatorlibrary | com.mistergrizzlys.docscanpro |
| QRecorder | com.record.callvoicerecorder |
Уведомление Google
28 января 2021 года исследователи Check Point Research сообщили о находке Google. 9 февраля компания подтвердила, что все приложения, зараженные Clast82, удалены из Google Play.
«Метод, который выбрал хакер, очень изобретательный, но вызывает у нас большие опасения: злоумышленнику удалось обойти защитные механизмы Google Play, используя общедоступные сторонние ресурсы, в данном случае аккаунты GitHub и FireBase. Жертвы были уверены, что скачивают полезные приложения из официального магазина для Android, но вместо этого получили опасный троян, нацеленный на банковские приложения, — говорит Авиран Хазум, исследователь мобильных угроз в Check Point. — Механизмы скрытного обхода систем безопасности, которые используют вредоносные программы, доказывают необходимость установки дополнительных решений для защиты мобильных устройств. Обычной проверки нового приложения в магазине недостаточно, поскольку злоумышленник может с легкостью менять поведение вредоносного ПО, используя сторонние ресурсы».
