Clast82

Исследователи информационной безопасности раскрыли новую угрожающую кампанию, целью которой были пользователи Android. Операция включает распространение вредоносных программ через девять угрожающих приложений, которые смогли обойти меры безопасности Google Play Store. Для этого злоумышленники использовали совершенно новую вредоносную программу-дроппер Clast82.

Согласно выводам аналитиков безопасности, Clast82 был внедрен в известные законные приложения с открытым исходным кодом. Всего девять таких приложений смогли проникнуть в мобильный магазин Google - BeatPlayer, Cake VPN, eVPN (две разные версии), Music Player, Pacific VPN, QR / Barcode Scanner MAX, QRecorder и tooltipnattorlibrary. Каждое вооруженное приложение имело собственный репозиторий кода на GitHub, а также нового пользователя-разработчика для магазина Google Play. Факты свидетельствуют о том, что за операцией стоит один злоумышленник - все поддельные учетные записи разработчиков использовали один и тот же адрес электронной почты, а страница политики не только была идентична для каждого приложения, но также указывала на один и тот же репозиторий GitHub.

Цепочка атак Clast82

Дроппер Clast82 сыграл важную роль в кампании атаки. Угроза вредоносного ПО определяет, запускать ли свое угрожающее поведение, на основе определенного параметра, полученного в течение оценочного периода для Google Play Store. По умолчанию для этого параметра установлено значение «false», а значение «true» будет изменено только после того, как приложение, несущее Clast82, будет опубликовано в магазине.

Как только пользователи загрузят одно из угрожающих приложений, Clast82 активирует службу, отвечающую за получение полезной нагрузки следующего этапа. Дроппер обходит требование Android показывать текущее уведомление о своем действии, отображая так называемое «нейтральное» уведомление. Например, пользователю будет представлено сообщение, в котором просто указано «GooglePlayServices» без каких-либо дополнительных сведений. Если скомпрометированное устройство настроено на блокировку любых установок приложений из неизвестных источников, Clast82 начнет приставать к пользователю поддельными запросами, которые выглядят так, как если бы они исходили из сервисов Google Play. Навязчивые подсказки будут генерироваться каждые пять секунд.

На большинстве зараженных устройств Clast82 развернул вредоносную программу-инфостилер под названием AlienBot. Эта конкретная угроза доступна для покупки как вредоносное ПО как услуга (MaaS) и позволяет злоумышленникам внедрять код в законные банковские приложения. Цель состоит в том, чтобы собрать платежную информацию, такую как банковские реквизиты или данные кредитной / дебетовой карты. Однако в нескольких случаях атака на взломанные устройства была усилена за счет отказа от MRAT, вредоносного инструмента для сбора данных, который был впервые обнаружен еще в 2014 году, когда он использовался против протестующих в Гонконге.

Получив уведомление о кампании атаки, Google удалил все поддельные приложения Clast82, доступные в магазине Play.