Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

На Google Play обнаружены девять приложений с кодом Clast82, загружающим троянов AlienBot и mRAT. Обойти защитные механизмы интернет-магазина злоумышленникам помогло несколько уловок, в том числе использование репозиториев на GitHub и облачного сервиса Firebase. Узнав о новой неприятной находке, Google удалила зараженные программы из доступа.

Проведенный в Check Point Software анализ показал, что Clast82, добавленный в  легитимное приложение, умеет скрывать свое вредоносное поведение во время проверки на Google Play. В этом ему помогает параметр, присланный в конфигурационном файле с C2-сервера, к которому загрузчик обращается через Firebase. Значение параметра false запрещает ему выполнять основную задачу, значение true, получаемое после публикации зараженного приложения в магазине, дает «зеленый свет» на загрузку целевого APK по указанной ссылке.

Полезная нагрузка при этом хранится на GitHub. Если опция загрузки приложений из неизвестных источников на Android отключена, Clast82 каждые пять минут отображает жертве поддельное сообщение сервисов Google Play, убеждая ее разрешить установку.

 

Как оказалось, конечной целью операторов Clast82 являлась загрузка и запуск шпиона mRAT либо банковского трояна AlienBot. Последний не только ворует учетные данные и 2FA-коды из клиентов финансовых организаций, но также открывает удаленный доступ к Android-устройству, который злоумышленники могут использовать, например, для запуска TeamViewer. В ходе тестирования аналитики насчитали более 100 уникальных образцов AlienBot, загружаемых с помощью Clast82.

Код этого загрузчика был выявлен в следующих легитимных opensource-приложениях:

  • Cake VPN 
  • Pacific VPN 
  • eVPN
  • BeatPlayer
  • QR/Barcode Scanner MAX 
  • Music Player 
  • tooltipnatorlibrary 
  • QRecorder

Примечательно, что под каждую модификацию злоумышленники создавали поддельный аккаунт разработчика на Google Play и соответствующий репозиторий на GitHub. Однако эта дополнительная мера защиты оказалась шита белыми нитками: все аккаунты разработчика были зарегистрированы под одним и тем же адресом Gmail.

Специалисты Check Point передали в Google результаты исследования 28 января. Девятого февраля они получили ответ, подтверждающий удаление всех заряженных Clast82 приложений из интернет-магазина. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Названы приоритеты в ИБ киберфизических систем до 2040 года

Компания «Актив» подвела итоги форсайт-сессии «Будущее безопасности киберфизических систем в России», которая прошла в марте 2025 года в Москве. В итоговом документе участники сформулировали рекомендации и прогнозы развития отрасли до 2040 года.

Что обсуждали

В дискуссиях приняли участие около 30 специалистов: представители вузов, технологических компаний и отраслевых ассоциаций. Среди них — эксперты из МЭИ, «Лаборатории Касперского», Ассоциации Интернета вещей, НИИМЭ, «ИнфоТеКС», «С Терра СиЭсПи», «Zelax», НТУ «Сириус», ИКТИБ ЮФУ и других организаций.

Участникам предложили подумать над тем, что нужно для устойчивого развития киберфизических систем, как готовить кадры для отрасли, какие нужны стандарты и как встроить безопасность уже на этапе проектирования. Отдельно поднимали тему угроз будущего и возможных способов защиты.

Сессия прошла на базе МТУСИ в рамках международного фестиваля отраслевой науки ComInfFest 2025.

Основные выводы

  • Экосистема вместо разрозненности. Киберфизические системы — это история про много разных участников, от производителей до регуляторов. Чтобы всё работало слаженно, нужно выстраивать гибкую и масштабируемую экосистему с понятными правилами.
  • Безопасность — на старте, а не в конце. Современные подходы к защите предлагают внедрять безопасность не постфактум, а ещё на стадии архитектуры системы. Идея — создать «цепочку доверия»: каждый элемент, от железа до софта, должен быть верифицирован и защищён. Такой подход называют Security-by-Design.
  • Квантовые угрозы — не ближайшая проблема. Судя по текущим темпам развития, серьёзного влияния квантовых технологий на IoT-инфраструктуру не ожидается до 2040 года. Это даёт время на постепенное совершенствование существующих решений, без спешки с переходом на постквантовые алгоритмы.
  • Гибкость в криптографии. Чтобы не переделывать всё с нуля при переходе на новые криптоалгоритмы, уже сейчас стоит закладывать в системы архитектуру, позволяющую быстро заменять криптомодули. Такой подход называется crypto agility.
  • Свой путь важнее гонки. Копировать зарубежные решения не всегда эффективно. Российские компании могут быть сильны в создании оригинальных, нишевых технологий. Главное — развивать именно то, в чём есть потенциал, и ставить амбициозные цели.
  • Сложность внутри одной системы. Даже одна киберфизическая система может включать в себя множество устройств разного типа. Защитить такую гетерогенную структуру — непростая задача, особенно если думать о защите на годы вперёд. Форсайт помог лучше понять, как с этим работать в долгосрочной перспективе.

Форсайт-сессия стала для участников возможностью не только зафиксировать ключевые вызовы, но и выработать подходы к проектированию и защите сложных систем, которые будут актуальны в ближайшие 10–15 лет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru