9 ứng dụng Android trên Google Play phân phối AlienBot Banker và phần mềm độc hại MRAT

(THN / Security365) Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm độc hại malware dropper  mới có trong 9 ứng dụng Android được phân phối qua Cửa hàng Google Play có khả năng xâm nhập vào tài khoản tài chính của nạn nhân cũng như chiếm toàn quyền kiểm soát thiết bị của họ.

“Malware dropper này được đặt tên là Clast82, sử dụng một loạt kỹ thuật để tránh bị phát hiện bởi Google Play Protect, hoàn thành giai đoạn đánh giá thành công và thay đổi trọng tải (payload) từ payload không độc hại sang AlienBot Banker và MRAT”, nhà nghiên cứu Aviran của Check Point Hazum, Bohdan Melnykov và Israel Wernik cho biết trong một bài viết được xuất bản ngày hôm nay trên Checkpoint.

Các ứng dụng đã được sử dụng cho chiến dịch bao gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Sau khi phát hiện được báo cáo cho Google vào ngày 28 tháng 1, các ứng dụng giả mạo đã bị xóa khỏi Cửa hàng Play vào ngày 9 tháng 2.

Các tác giả phần mềm độc hại đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra cửa hàng ứng dụng. Sử dụng mã hóa để ẩn chuỗi khỏi các công cụ phân tích, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống ứng dụng, những kẻ lừa đảo đã đánh trả nỗ lực của Google để bảo mật nền tảng bằng cách liên tục phát triển các kỹ thuật mới để vượt qua mạng lưới bảo vệ.

Phổ biến không kém là các phương pháp lập phiên bản, đề cập đến việc tải lên phiên bản sạch của ứng dụng lên Cửa hàng Play để xây dựng lòng tin giữa người dùng và sau đó lén lút thêm mã không mong muốn ở giai đoạn sau thông qua các bản cập nhật ứng dụng và kết hợp độ trễ theo thời gian để kích hoạt chức năng độc hại nhằm tránh bị Google phát hiện.

Clast82 sử dụng Firebase làm nền tảng cho giao tiếp lệnh và điều khiển (C2) và sử dụng GitHub để tải xuống các tải trọng độc hại, ngoài việc tận dụng các ứng dụng Android nguồn mở hợp pháp để chèn chức năng Dropper .

“Đối với mỗi ứng dụng, kẻ xấu đã tạo một người dùng nhà phát triển mới cho cửa hàng Google Play, cùng với một kho lưu trữ trên tài khoản GitHub của chúng, do đó cho phép họ phân phối các payload khác nhau trên những thiết bị đã bị nhiễm bởi ứng dụng độc hại”, các nhà nghiên cứu lưu ý .

Ví dụ: ứng dụng Cake VPN độc hại được phát hiện dựa trên phiên bản nguồn mở cùng tên của nó do một nhà phát triển có trụ sở tại Dhaka có tên Syed Ashraf Ullah tạo ra. Nhưng khi ứng dụng được khởi chạy, nó sẽ tận dụng cơ sở dữ liệu thời gian thực của Firebase để truy xuất đường dẫn payload từ GitHub, đường dẫn này sau đó được cài đặt trên thiết bị mục tiêu.

Trong trường hợp tùy chọn cài đặt ứng dụng từ các nguồn không xác định thì Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc “Dịch vụ Google Play” giả để bật quyền, cuối cùng sử dụng nó để cài đặt AlienBot, một MaaS ngân hàng Android ( phần mềm độc hại dưới dạng dịch vụ) có khả năng lấy cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụng tài chính.

Tháng trước, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã bị lừa đảo chỉ với một bản cập nhật sau khi quyền sở hữu được đổi chủ. Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên là The Great Suspender đã bị vô hiệu hóa sau các báo cáo rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị khai thác để thực thi mã tùy ý từ một máy chủ từ xa.

“Tin tặc đứng sau Clast82 đã có thể vượt qua sự bảo vệ của Google Play bằng cách sử dụng một phương pháp luận sáng tạo nhưng đáng quan tâm”, Hazum nói. “Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 – như tài khoản GitHub hoặc tài khoản FireBase – hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua sự bảo vệ của Cửa hàng Google Play. Các nạn nhân nghĩ rằng họ đang tải xuống một ứng dụng tiện ích vô hại từ thị trường Android chính thức, nhưng những gì họ thực sự nhận được là một trojan nguy hiểm đến thẳng tài khoản tài chính của họ. “

BQT Security365 / Đông Dương

Trả lời

Điền thông tin vào ô dưới đây hoặc nhấn vào một biểu tượng để đăng nhập:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất /  Thay đổi )

Google photo

Bạn đang bình luận bằng tài khoản Google Đăng xuất /  Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất /  Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất /  Thay đổi )

Connecting to %s