我們的調(diào)查結(jié)果
Check Point Research (CPR) 最近發(fā)現(xiàn)了一種通過(guò) Google Play 商店傳播的新植入程序。這一名為 Clast82 的植入程序能夠逃避 Google Play Protect 的檢測(cè),成功渡過(guò)評(píng)估期,并將從非惡意有效負(fù)載中刪除的有效負(fù)載更改為 AlienBot Banker 和 MRAT。
AlienBot 惡意軟件家族是一種針對(duì) Android 設(shè)備的惡意軟件即服務(wù) (MaaS),它允許遠(yuǎn)程攻擊者將惡意代碼注入合法的金融應(yīng)用中。攻擊者能夠獲得對(duì)受害者賬戶(hù)的訪(fǎng)問(wèn)權(quán)限,并最終完全控制其設(shè)備。在控制設(shè)備后,攻擊者便可控制某些功能,就像他們實(shí)際持有設(shè)備一樣,例如將新應(yīng)用安裝至設(shè)備,甚至使用 TeamViewer 進(jìn)行遠(yuǎn)程控制。
Check Point Research 向 Android 安全團(tuán)隊(duì)報(bào)告了其調(diào)查結(jié)果后,Google 確認(rèn)所有 Clast82 應(yīng)用均已從 Google Play 商店中刪除。
在 Google Play 上執(zhí)行 Clast82 評(píng)估期間,從 Firebase C&C 發(fā)送的配置包含一個(gè)“enable”參數(shù)。根據(jù)參數(shù)的值,惡意軟件將“決定”是否觸發(fā)惡意行為。這一參數(shù)被設(shè)置為“false”,并僅當(dāng) Google 在 Google Play 上發(fā)布了 Clast82 惡意軟件后才會(huì)更改為“true”。
該惡意軟件能夠設(shè)法逃避檢測(cè),這證明了為何需要采用移動(dòng)安全解決方案的重要性。僅在評(píng)估期間掃描應(yīng)用還遠(yuǎn)遠(yuǎn)不夠,因?yàn)楣粽邔?huì)利用第三方工具更改應(yīng)用行為。由于 Clast82 植入的有效負(fù)載并非來(lái)自 Google Play,因此在提交審查之前對(duì)應(yīng)用進(jìn)行掃描實(shí)際上無(wú)法阻止惡意有效負(fù)載的安裝。Check Point 近期推出的 Harmony Mobile (原名為 SandBlast Mobile)提供了廣泛的功能,它們易于部署、管理和擴(kuò)展,可為移動(dòng)員工提供全面保護(hù)。Harmony Mobile 能夠 有 效防御 所有移動(dòng)攻擊向量,既能監(jiān)控設(shè)備本身又可通過(guò)應(yīng)用不斷掃描網(wǎng)絡(luò)連接,從而能夠檢測(cè)并抵御此類(lèi)威脅。
附表:惡意植入程序:
名稱(chēng) |
程序包名稱(chēng) |
Cake VPN |
com.lazycoder.cakevpns |
Pacific VPN |
com.protectvpn.freeapp |
eVPN |
com.abcd.evpnfree |
BeatPlayer |
com.crrl.beatplayers |
QR/Barcode Scanner MAX |
com.bezrukd.qrcodebarcode |
eVPN |
com.abcd.evpnfree |
Music Player |
com.revosleap.samplemusicplayers |
tooltipnatorlibrary |
com.mistergrizzlys.docscanpro |
QRecorder |
com.record.callvoicerecorder |