محققان امنیت سایبری یک بدافزار جدید را کشف کردهاند که در ۹ برنامه اندرویدی توزیع شده از طریق فروشگاه Google Play وجود دارد و از یک بدافزار دیگر برای دسترسی سریع به حسابهای مالی قربانیان و همچنین کنترل کامل دستگاههای آنها استفاده میکند.
محققان Check Point هازوم، ملنیکوف و ورنیک در مقالهای که امروز منتشر شد گفتند: این نرمافزار که Clast82 لقب گرفته است از مجموعهای از تکنیکها برای جلوگیری از شناسایی توسط Google Protect Detect استفاده میکند، دوره ارزیابی را با موفقیت به پایان میرساند و Payload غیرمخرب را به AlienBot Banker و MRAT تغییر میدهد.
برنامههایی که برای این کمپین استفاده شدهاند شامل: Cake VPN ،Pacific VPN ،eVPN ،BeatPlayer ،QR/Barcode Scanner MAX ،Music Player ،tooltipnatorlibrary و QRecorder هستند. پس از گزارش یافتهها در تاریخ ۲۸ ژانویه به گوگل، این برنامههای مخرب در تاریخ ۹ فوریه از Google Play حذف شدند.
نویسندگان بدافزار برای دور زدن مکانیسمهای تأیید فروشگاههای app به روشهای مختلفی متوسل شدهاند، مانند: ایجاد نسخههای تقلبی برنامههای قانونی یا ساختن Reviewهای جعلی برای جلب کاربران برای دانلود برنامهها.
روشهای دیگری مانند انتشار نسخههای متفاوت، که شامل بارگذاری یک نسخه سالم و کاربردی از برنامه در Play Store برای ایجاد اعتماد در بین کاربران و سپس در مرحله بعد اضافه کردن کدهای مخرب از طریق بروزرسانی برنامه میشود، به همان اندازه محبوب هستند.
Clast82 از Firebase به عنوان بستری برای ارتباطات command-and-control(C2) استفاده میکند و علاوه بر استفاده از برنامههای اندروید Open Source مجاز و شناخته شده برای قرار دادن قابلیت Dropper، از GitHub برای بارگیری Payloadهای مخرب استفاده میکند.
محققان خاطرنشان كردند: مهاجم برای هر برنامه یك كاربر توسعه دهنده جدید برای فروشگاه Google Play همراه با یک حساب GitHub ایجاد کرده است.
به عنوان مثال: مشخص شد که برنامه مخرب Cake VPN مبتنی بر یک نسخه منبعباز با همان نام است که توسط یک توسعه دهنده بنام Syed Ashraf Ullah ایجاد شده است. اما هنگامی که برنامه راهاندازی شد، از دیتابیس Firebase real-time برای بازیابی مسیر بارگذاری از GitHub استفاده میکند، سپس بر روی دستگاه مورد نظر نصب میشود.
در صورت خاموش بودن گزینه “نصب برنامهها از منابع ناشناخته” Clast82 به طور مکرر هر پنج ثانیه با درخواست جعلی “Google Play Services” از کاربر میخواهد تا این مجوز را فعال کند، در نهایت با استفاده از آن برای نصب AlienBot قادر به سرقت اعتبار و کدهای احراز هویت دو عاملی از برنامههای مالی است.
هازوم گفت: هكر پشت Clast82 با استفاده از یك روش خلاقانه اما نگران كننده توانست از Google Play Protect عبور كند. با یک دستکاری ساده در منابع 3rd party که به راحتی در دسترس هستند، مانند حساب GitHub یا حساب FireBase، هکر توانست از منابع موجود به راحتی استفاده کند تا از Google Play Protect عبور کند. قربانیان فکر میکردند که یک برنامه کمکی بیضرر را از این برنامه بارگیری میکنند اما آنچه که دانلود میشود یک تروجان خطرناک بانکی است.
یک نظر