9 ứng dụng Android trên Google Play bị bắt quả tang phân phối AlienBot Banker và phần mềm độc hại MRAT
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một phần mềm nhỏ giọt phần mềm độc hại mới có trong 9 ứng dụng Android được phân phối qua Cửa hàng Google Play triển khai phần mềm độc hại giai đoạn hai có khả năng xâm nhập vào tài khoản tài chính của nạn nhân cũng như toàn quyền kiểm soát thiết bị của họ.
"Phần mềm độc hại này, được đặt tên là Clast82, sử dụng một loạt kỹ thuật để tránh bị phát hiện bởi Google Play Protect, hoàn thành giai đoạn đánh giá thành công và thay đổi trọng tải bị giảm từ tải trọng không độc hại sang AlienBot Banker và MRAT", nhà nghiên cứu Aviran của Check Point Hazum, Bohdan Melnykov và Israel Wernik cho biết trong một bài viết được xuất bản ngày hôm nay.
Các ứng dụng được sử dụng cho chiến dịch bao gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Sau khi phát hiện được báo cáo cho Google vào ngày 28 tháng 1, các ứng dụng giả mạo đã bị xóa khỏi Cửa hàng Play vào ngày 9 tháng 2.
Các tác giả phần mềm độc hại đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra cửa hàng ứng dụng. Cho dù đó là sử dụng mã hóa để ẩn chuỗi khỏi các công cụ phân tích, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống ứng dụng, những kẻ lừa đảo đã đánh trả nỗ lực của Google để bảo mật nền tảng bằng cách liên tục phát triển các kỹ thuật mới để vượt qua mạng lưới.
Phổ biến không kém là các phương pháp khác như lập phiên bản, đề cập đến việc tải lên phiên bản sạch của ứng dụng lên Cửa hàng Play để xây dựng lòng tin giữa người dùng và sau đó lén lút thêm mã không mong muốn ở giai đoạn sau thông qua các bản cập nhật ứng dụng và kết hợp độ trễ theo thời gian để kích hoạt chức năng độc hại nhằm tránh bị Google phát hiện.
Clast82 không khác ở chỗ nó sử dụng Firebase làm nền tảng cho giao tiếp lệnh và điều khiển (C2) và sử dụng GitHub để tải xuống các tải trọng độc hại, ngoài việc tận dụng các ứng dụng Android nguồn mở hợp pháp và đã biết để chèn chức năng Dropper .
Các nhà nghiên cứu lưu ý: "Đối với mỗi ứng dụng, diễn viên đã tạo một người dùng nhà phát triển mới cho cửa hàng Google Play, cùng với một kho lưu trữ trên tài khoản GitHub của diễn viên, do đó cho phép diễn viên phân phối các tải trọng khác nhau cho các thiết bị bị nhiễm bởi từng ứng dụng độc hại" .
Ví dụ: ứng dụng Cake VPN độc hại được phát hiện dựa trên phiên bản nguồn mở cùng tên của nó do một nhà phát triển có trụ sở tại Dhaka có tên Syed Ashraf Ullah tạo ra. Nhưng khi ứng dụng được khởi chạy, nó sẽ tận dụng cơ sở dữ liệu thời gian thực của Firebase để truy xuất đường dẫn trọng tải từ GitHub, đường dẫn này sau đó được cài đặt trên thiết bị mục tiêu.
Trong trường hợp tùy chọn cài đặt ứng dụng từ các nguồn không xác định bị tắt, Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc "Dịch vụ Google Play" giả để bật quyền, cuối cùng sử dụng nó để cài đặt AlienBot, một MaaS ngân hàng Android ( phần mềm độc hại dưới dạng dịch vụ) có khả năng lấy cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụng tài chính.
Tháng trước, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã bị lừa đảo chỉ với một bản cập nhật sau khi quyền sở hữu được đổi chủ. Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên The Great Suspender đã bị vô hiệu hóa sau các báo cáo rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị lợi dụng để thực thi mã tùy ý từ một máy chủ từ xa.
"Tin tặc đứng sau Clast82 đã có thể vượt qua sự bảo vệ của Google Play bằng cách sử dụng một phương pháp luận sáng tạo nhưng đáng quan tâm", Hazum nói. "Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 - như tài khoản GitHub hoặc tài khoản FireBase - hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua sự bảo vệ của Cửa hàng Google Play. Các nạn nhân nghĩ rằng họ đang tải xuống một ứng dụng tiện ích vô hại từ thị trường Android chính thức, nhưng những gì họ thực sự nhận được là một trojan nguy hiểm đến thẳng tài khoản tài chính của họ. "
Theo The Hacker News
TIN CÙNG CHUYÊN MỤC
Khi tiện ích mở rộng tốt trở nên tệ hại:...
Hàng chục tiện ích mở rộng của Chrome bị...
Apple bồi thường 95 triệu USD vì Siri ng...
Hơn 15.000 Bộ định tuyến Four-Faith bị k...
Bạn nghĩ sao nếu người dùng ảo là chatbo...
Các cuộc tấn công mạng “bẻ khóa” thông t...
- Cuối Tuần Vui Vẻ, Giá Rẻ Bất Ngờ
- Thông báo thời gian nghỉ lễ Tết Dương Lịch 2025
- Khi tiện ích mở rộng tốt trở nên tệ hại: Những điể...
- Khi tiện ích mở rộng tốt trở nên tệ hại: Làm thế n...
- Lý do dùng AI chỉnh ảnh được yêu thích hơn cách th...
- Hàng chục tiện ích mở rộng của Chrome bị hack, khi...