Clast82

En ny truende kampagne med Android-brugere som mål er blevet afdækket af infosec-forskere. Operationen involverer distribution af malware-nyttelast gennem ni truende applikationer, der var i stand til at omgå sikkerhedsforanstaltningerne i Google Play Butik. For at opnå dette anvendte trusselsaktørerne en helt ny malware-dropper ved navn Clast82.

Ifølge resultaterne fra sikkerhedsanalytikerne blev Clast82 injiceret i kendte legitime open source-applikationer. I alt ni sådanne applikationer var i stand til at trænge ind i Googles mobilbutik - BeatPlayer, Cake VPN, eVPN (to forskellige versioner), Music Player, Pacific VPN, QR / Barcode Scanner MAX, QRecorder og tooltipnattorlibrary. Hver våbenapplikation havde sit eget kodelager på GitHub samt en ny udviklerbruger til Google Play-butikken. Bevis tyder på, at en enkelt trusselsaktør står bag operationen - alle de falske udviklerkonti brugte den samme e-mail-adresse, mens siden Politik ikke kun var identisk for hver applikation, men det pegede også på det samme GitHub-lager.

Clast82 angrebskæde

Clast82-dropperen spillede en væsentlig rolle i angrebskampagnen. Malwaretruslen bestemmer, om dens truende adfærd skal udløses baseret på en bestemt parameter modtaget i evalueringsperioden for Google Play Butik. Denne parameter er som standard indstillet til "falsk" og vil først blive "sand", efter at den Clast82-bærende applikation er blevet offentliggjort i butikken.

Når brugerne har downloadet en af de truende applikationer, aktiverer Clast82 en tjeneste, der er ansvarlig for at hente den næste fasen nyttelast. Dropperen omgår Android's krav om at vise en løbende underretning for sin handling ved at vise det, der kaldes en 'neutral' meddelelse. For eksempel vil brugeren blive præsenteret for en besked, der simpelthen siger 'GooglePlayServices' uden yderligere detaljer. Hvis den kompromitterede enhed er indstillet til at blokere applikationsinstallationer fra ukendte kilder, begynder Clast82 at plage brugeren med falske anmodninger, der er designet til at se ud som om de kommer fra Google Play Services. De påtrængende meddelelser genereres hvert femte sekund.

På de fleste af de inficerede enheder implementerede Clast82 en infostealer-malware kaldet AlienBot. Denne særlige trussel kan købes som en malware-as-a-service (MaaS), og den gør det muligt for angribere at indsprøjte kode i legitime bankapplikationer. Målet er at indsamle betalingsoplysninger såsom bankoplysninger eller kredit- / betalingskortoplysninger. I et par tilfælde blev angrebet på de kompromitterede enheder imidlertid eskaleret ved at droppe MRAT , et datahøstnings malware-værktøj, der først blev opdaget tilbage i 2014, da det blev brugt mod Hong Kong-demonstranter.

Efter at have fået besked om angrebskampagnen har Google fjernet alle de falske Clast82-applikationer, der er tilgængelige i Play-butikken.