У магазині додатків Google Play виявили дев’ять додатків з кодом Clast82, які завантажують трояни AlienBot і mRAT. Обійти захисні механізми інтернет-магазину зловмисникам допомогли кілька прийомів, зокрема, використання репозиторіїв на GitHub і хмарного сервісу Firebase.

Дізнавшись про нову неприємною знахідку, Google видалила заражені програми з доступу. Проведений в Check Point Software аналіз показав, що Clast82, доданий до легітимного додатку, вміє приховувати свою шкідливу поведінку під час перевірки на Google Play.

У цьому йому допомагає параметр, присланий у файлі конфігурації з C2-сервера, до якого завантажувач звертається через Firebase. Значення параметра false забороняє йому виконувати основне завдання, значення true, що отримується після публікації зараженого додатки в магазині, дає “зелене світло” на завантаження цільового APK за вказаним URL.

Корисне навантаження при цьому зберігається на GitHub. Якщо опція завантаження програм з невідомих джерел на Android відключена, Clast82 кожні п’ять хвилин відображає жертві підроблене повідомлення сервісів Google Play, переконуючи її дозволити установку.

Як виявилося, кінцевою метою операторів Clast82 було завантаження і запуск шпигуна mRAT або банківського трояна AlienBot. Останній не лише краде облікові дані і 2FA-коди з клієнтів фінансових організацій, але також відкриває віддалений доступ до Android-пристрою, який зловмисники можуть використовувати, наприклад, для запуску TeamViewer.

Під час тестування аналітики нарахували понад 100 унікальних зразків AlienBot, що завантажуються за допомогою Clast82. Код цього завантажувача був виявлений в наступних легітимних opensource-додатках:

  • Cake VPN;
  • Pacific VPN;
  • eVPN;
  • BeatPlayer;
  • QR/Barcode;
  • Scanner MAX;
  • Music Player;
  • tooltipnatorlibrary;
  • QRecorder.

Примітно, що під кожну модифікацію зловмисники створювали підроблений екаунт розробника на Google Play і відповідний репозиторій на GitHub. Однак цей додатковий спосіб захисту не допоміг, адже всі екаунти розробника були зареєстровані під однаковою адресою Gmail.

Фахівці Check Point передали до Google результати дослідження 28 січня ц.р. Дев’ятого лютого вони отримали відповідь, що підтверджує видалення всіх заражених Clast82 додатків з інтернет-магазину.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Signal чи Telegram: який додаток кращий для чату?

Топ-7 альтернативних месенджерів на заміну WhatsApp

Як перевірити швидкість з’єднання на Вашому комп’ютері? ІНСТРУКЦІЯ

Обережно, фальшивка! Популярні схеми шахрайства з вакциною від COVID-19

Як перейти на приватну пошукову систему DuckDuckGo? – ІНСТРУКЦІЯ

Як позбутися WhatsApp на Android та iOS? – ІНСТРУКЦІЯ

Як анонімно користуватися Signal або Telegram? ПОРАДИ

Нагадаємо, сінгапурська технологічна компанія Smart Media4U Technology заявила про виправлення уразливостей у додатку SHAREit, які могли дозволити зловмисникам віддалено виконувати довільний код на пристроях користувачів. Помилки безпеки впливають на додаток компанії SHAREit для Android, додаток, який завантажили понад 1 мільярд разів.

Дослідники з компанії Red Canary знайшли нову шкідливу програму, розроблену для атак на комп’ютери Apple MacВін отримав назву Silver Sparrow і вже встиг заразити приблизно 30 тис. пристроїв у 153 країнах світу, включаючи США, Великобританію, Канаду, Францію і Німеччину.

Також фахівці у галузі кібербезпеки виявили новий метод атаки, що дозволяє зловмисникам “обдурити” термінал для оплати (POS-термінал) і змусити його думати, що безконтактна картка Mastercard насправді є картою Visa.

Як стало відомо, минулими вихідними стався витік діалогів деяких користувачів Clubhouse. Компанія запевнила, що заблокувала хакера і вживає додаткових заходів безпеки, але розраховувати на приватність і захищеність розмов в соцмережі не варто, попередили експерти.

До речі, нещодавно виявлена ​​фішингова кампанія відзначилася цікавим підходом до крадіжки облікових даних жертви: зловмисники використовують API популярного месенджера Telegram для створення шкідливих доменів.