当前位置：首页 > 新闻中心> 安全动态
安全动态

Clast82 – Google Play上的新Dropper删除了AlienBot Banker和MRAT

Check Point Research（CPR）最近在官方的Google Play商店中发现了一种新的Dropper传播方式，该商店可以下载并安装AlienBot Banker和MRAT。
这个称为Clast82的Dropper利用了一系列技术来避免被Google Play Protect检测所检测到，成功完成了评估期，并将丢弃的有效负载从非恶意有效负载更改为AlienBot Banker和MRAT。
AlienBot恶意软件家族是适用于Android设备的恶意软件即服务（MaaS），允许远程攻击者首先将恶意代码注入合法的金融应用程序中。攻击者可以访问受害者的帐户，并最终完全控制他们的设备。一旦控制了设备，攻击者就可以控制某些功能，就像他物理上握住该设备一样，例如在设备上安装新应用程序，甚至可以使用TeamViewer对其进行控制。

图1 – Google Play上的Clast82恶意软件

这个被称为CLAST82的恶意软件使用了一系列技术来避免被Google Play Protect检测到：

l 使用Firebase作为C＆C通信平台

l 使用GitHub上的3次党的托管平台，然后下载从有效载荷

在Google Play的Clast82评估期内，Firebase C＆C发送的配置包含“启用”参数。根据参数的值，恶意软件将“决定”是否触发恶意行为。此参数设置为“ false”，并且仅在Google在Google Play上发布Clast82恶意软件后才会更改为“ true”。

图片1.png

图2 –从Firebase C＆C发送的“已禁用”配置

图片2.png

图3 –从Firebase C＆C发送的“已启用”配置

该恶意软件保持未被检测的能力证明了为什么需要移动安全解决方案的重要性。监视设备本身，通过应用程序不断扫描网络连接和行为的解决方案将能够检测到此类行为。此外，Clast82丢弃的有效负载并非源自Google Play，因此在提交审阅之前扫描应用程序不会阻止恶意有效负载的安装。

对于每个应用程序，actor都为Google Play商店创建了一个新的开发者用户，并在actor的GitHub帐户上创建了一个存储库，从而允许actor将不同的有效负载分配给感染了每个恶意应用程序的设备。

图片3.png

图4 – Actor的GitHub存储库

在调查Google Play上虚假的开发者帐户时，我们遇到了另一个共同点–所有应用程序的开发者电子邮件都是相同的电子邮件“ sbarkas77590@gmail.com ”，并且指向“隐私权政策”页面的每个应用程序的链接链接到同一存储库的链接，该存储库也属于同一参与者。（https://gohhas.github.io/ ）

图片4.png 图片5.png

图5 –开发人员电子邮件和隐私策略链接

图片10.png

图6 –“ Gohhas”帐户的GitHub状态

图片11.png

图7 – Clast82的竞选攻击流程

技术分析– Clast82

使用合法且已知的开源android应用程序，并在其中添加了恶意代码，以便为恶意投递器提供功能，以及受害者从官方Google Play商店下载并安装该恶意软件的原因。例如，恶意的CakeVPN应用程序基于此GitHub存储库。
每次启动应用程序时，它都会从MainActivity启动服务，该服务会启动一个名为LoaderService的删除流程。此外，MainActivity启动前台服务以执行恶意删除任务。
为了遵守Android限制，当应用程序创建前台服务时，它还必须向用户显示正在进行的通知。Clast82通过显示“中立”通知来绕过此操作。如果是零患者CakeWeb应用程序，则显示的通知为“ GooglePlayServices”，没有其他文本。

图片12.png