Clast82：利用谷歌應(yīng)用商店來傳播惡意軟件

Check Point研究人員近日發(fā)現(xiàn)了一款通過谷歌官方應(yīng)用商店來傳播的釋放器惡意軟件——Clast82，該釋放器是用來下載和安裝AlienBot銀行木馬和MRAT。Clast82釋放器使用了一系列的技術(shù)來繞過谷歌Play應(yīng)用商店的保護(hù)檢測，在成功完成評估后，會(huì)將payload從非惡意的payload修改為AlienBot銀行木馬和MRAT。

AlienBot惡意軟件家族是一種針對安卓設(shè)備的惡意軟件即服務(wù)(Malware-as-a-Service，MaaS)。首先，遠(yuǎn)程攻擊者利用該服務(wù)可以注入惡意代碼到合法的金融應(yīng)用中;然后，獲取受害者賬戶的訪問權(quán)限，最后完全控制該設(shè)備。在控制了設(shè)備后，攻擊者就可以控制特定的函數(shù)，就好像可以物理接觸手機(jī)設(shè)備一樣。

攻擊活動(dòng)中使用的9款安卓APP包括Cake虛擬網(wǎng)絡(luò)、Pacific虛擬網(wǎng)絡(luò)、e虛擬網(wǎng)絡(luò)、BeatPlayer、QR/Barcode Scanner MAX、Music Player、tooltipnatorlibrary和QRecorder。1月28日，研究人員將相關(guān)發(fā)現(xiàn)報(bào)告給了谷歌，2月9日，谷歌從官方應(yīng)用商店移除了以上惡意應(yīng)用程序。

惡意軟件作者使用了許多方法來繞過應(yīng)用商店的安全檢查機(jī)制。Clast82使用Firebase作為C2通信平臺，并使用GitHub來下載惡意payload，此外，還利用合法和已知的開源安卓應(yīng)用來插入Dropper功能。

對每個(gè)應(yīng)用，惡意軟件作者都會(huì)在谷歌應(yīng)用商店中創(chuàng)建一個(gè)新的開發(fā)者用戶，并創(chuàng)建一個(gè)GitHub賬戶，這樣該開發(fā)者用戶就可以分發(fā)不同的payload給每個(gè)惡意應(yīng)用感染的設(shè)備了。比如，惡意Cake虛擬網(wǎng)絡(luò)app就是基于同名的開源軟件。該APP啟動(dòng)后，就會(huì)利用Firebase實(shí)時(shí)數(shù)據(jù)庫來提取GitHub上的payload路徑，然后下載和安裝在目標(biāo)設(shè)備上。

如果從未知源下載APP的選項(xiàng)沒有開啟，Clast82就會(huì)每隔5秒向用戶彈出虛假的"Google Play Services"彈窗來誘使用戶開啟該權(quán)限，最后用它來安裝安卓銀行木馬MaaS——AlienBot，AlienBot可以從金融APP中竊取憑證和雙因子認(rèn)證碼信息。

研究人員稱，Clast82背后的開發(fā)者使用第三方源來繞過谷歌應(yīng)用商店保護(hù)的方式非常新穎。受害者當(dāng)時(shí)下載和安裝的是從官方應(yīng)用市場下載的非惡意應(yīng)用，但是之后會(huì)安裝的是竊取隱私信息的木馬。

完整研究報(bào)告參見：https://research.checkpoint.com/2021/clast82-a-new-dropper-on-google-play-dropping-the-alienbot-banker-and-mrat/