Clast82

Een nieuwe bedreigende campagne met Android-gebruikers als doelwit is ontdekt door infosec-onderzoekers. De operatie omvat de distributie van malware-payloads via negen bedreigende applicaties die de beveiligingsmaatregelen van de Google Play Store konden omzeilen. Om dit te bereiken, gebruikten de bedreigingsactoren een gloednieuwe malware-dropper genaamd Clast82.

Volgens de bevindingen van de beveiligingsanalisten werd Clast82 geïnjecteerd in bekende legitieme open-sourceapplicaties. In totaal konden negen van dergelijke applicaties de mobiele winkel van Google binnendringen: BeatPlayer, Cake VPN, eVPN (twee verschillende versies), Music Player, Pacific VPN, QR / Barcode Scanner MAX, QRecorder en tooltipnattorlibrary. Elke bewapende applicatie had zijn eigen coderepository op GitHub, evenals een nieuwe ontwikkelaargebruiker voor de Google Play Store. Er zijn aanwijzingen dat een enkele bedreigingsacteur achter de operatie zit - alle nep-ontwikkelaarsaccounts gebruikten hetzelfde e-mailadres, terwijl de beleidspagina niet alleen identiek was voor elke applicatie, maar ook naar dezelfde GitHub-repository wees.

Clast82 aanvalsketen

De Clast82-druppelaar speelde een essentiële rol in de aanvalscampagne. De malwarebedreiging bepaalt of het bedreigende gedrag wordt geactiveerd op basis van een specifieke parameter die is ontvangen tijdens de evaluatieperiode voor de Google Play Store. Deze parameter is standaard ingesteld op 'false' en verandert pas in 'true' nadat de Clast82-dragende applicatie in de winkel is gepubliceerd.

Zodra gebruikers een van de bedreigende applicaties hebben gedownload, activeert Clast82 een service die verantwoordelijk is voor het ophalen van de volgende fase van de lading. De druppelaar omzeilt de vereiste van Android om een doorlopende melding voor zijn actie te tonen door een zogenaamde 'neutrale' melding weer te geven. De gebruiker krijgt bijvoorbeeld een bericht te zien met de tekst 'GooglePlayServices' zonder aanvullende details. Als het gecompromitteerde apparaat is ingesteld om applicatie-installaties van onbekende bronnen te blokkeren, zal Clast82 de gebruiker gaan lastigvallen met nepverzoeken die zo zijn ontworpen dat het lijkt alsof ze afkomstig zijn van Google Play Services. De opdringerige prompts worden elke vijf seconden gegenereerd.

Op de meeste geïnfecteerde apparaten implementeerde Clast82 een infostealer-malware genaamd AlienBot. Deze specifieke bedreiging kan worden gekocht als een malware-as-a-service (MaaS) en stelt aanvallers in staat om code in legitieme banktoepassingen te injecteren. Het doel is om betalingsinformatie te verzamelen, zoals bankreferenties of creditcard- / betaalpasgegevens. In een paar gevallen werd de aanval op de gecompromitteerde apparaten echter geëscaleerd door MRAT te laten vallen, een malwaretool voor gegevensverzameling die voor het eerst werd ontdekt in 2014 toen het werd gebruikt tegen demonstranten in Hongkong.

Na op de hoogte te zijn gebracht van de aanvalscampagne, heeft Google alle Clast82 nep-applicaties verwijderd die beschikbaar zijn in de Play Store.