Приложения из Google Play, в которых обнаружен опасный банковский троян
Исследователи безопасности обнаружили вредоносную программу-дроппер, скрытую внутри 10 приложений Google Play, которая могла подвергнуть пользователей риску удаленного доступа с помощью банковских вредоносных программ.
Компания по кибербезопасности Check Point заявила, что обнаружила дроппер Clast82 в различных приложениях, доступных в официальном магазине, включая VPN-сервисы, считыватели QR-кодов и музыкальные плееры.
Clast82 устанавливает на устройство вредоносное ПО AlienBot Banker под видом услуги, истинным предназначением которого является обход кодов двухфакторной аутентификации в банковских приложениях и предоставление злоумышленникам доступа к учетным записям пользователей. Данный бот также способен загружать мобильный троян удаленного доступа (MRAT), способный удаленно управлять телефоном жертвы с помощью TeamViewer.
Принцип работы трояна
Программа обходит протокол Google Play Protect с помощью двух основных тактик. Во-первых, это использование принадлежащей Google базы данных для командного управления (C&C). По данным Check Point, злоумышленник также отключил вредоносное поведение дроппера, поскольку оно распознавалось системами безопасности Google.
Во-вторых, бот загружает код из GitHub, создавая нового пользователя с правами разработчика для Google Play для каждого приложения вместе с репозиторием в их учетной записи GitHub. Это позволяет злоумышленнику распространять различные комплекты данных на устройства, зараженные каждой новой вредоносной версией приложения.
Список приложений, в которых был обнаружен троян, следующий:
Мнение эксперта
Авиран Хазум, менеджер по мобильным исследованиям из Check Point, назвал эту тактику «креативной, но тревожной» из-за ее кажущейся простоты. «Жертвы думали, что они загружают безобидное служебное приложение с официального маркетплейса Android, но на самом деле они получали опасный троян, который получал непосредственный доступ к их финансовым счетам», — добавил он.
«Способность дроппера оставаться незамеченным демонстрирует важность того, почему пользователи должны устанавливать на свои устройства решения для обеспечения безопасности мобильных устройств. Недостаточно просто сканировать приложение в течение оценочного периода, так как злоумышленник может и будет изменять поведение приложения с помощью легкодоступных сторонних инструментов».
Сообщив о своих результатах в Google 28 января 2021 года, Check Point обнаружила, что 9 февраля все приложения, зараженные Clast82, были изъяты из доступа в Google Play, но они все еще останутся на устройствах пользователей, если их не удалить вручную.
