Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

Татьяна Никитина 10 Марта 2021 - 11:58
...
Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

На Google Play обнаружены девять приложений с кодом Clast82, загружающим троянов AlienBot и mRAT. Обойти защитные механизмы интернет-магазина злоумышленникам помогло несколько уловок, в том числе использование репозиториев на GitHub и облачного сервиса Firebase. Узнав о новой неприятной находке, Google удалила зараженные программы из доступа.

Проведенный в Check Point Software анализ показал, что Clast82, добавленный в  легитимное приложение, умеет скрывать свое вредоносное поведение во время проверки на Google Play. В этом ему помогает параметр, присланный в конфигурационном файле с C2-сервера, к которому загрузчик обращается через Firebase. Значение параметра false запрещает ему выполнять основную задачу, значение true, получаемое после публикации зараженного приложения в магазине, дает «зеленый свет» на загрузку целевого APK по указанной ссылке.

Полезная нагрузка при этом хранится на GitHub. Если опция загрузки приложений из неизвестных источников на Android отключена, Clast82 каждые пять минут отображает жертве поддельное сообщение сервисов Google Play, убеждая ее разрешить установку.

 

Как оказалось, конечной целью операторов Clast82 являлась загрузка и запуск шпиона mRAT либо банковского трояна AlienBot. Последний не только ворует учетные данные и 2FA-коды из клиентов финансовых организаций, но также открывает удаленный доступ к Android-устройству, который злоумышленники могут использовать, например, для запуска TeamViewer. В ходе тестирования аналитики насчитали более 100 уникальных образцов AlienBot, загружаемых с помощью Clast82.

Код этого загрузчика был выявлен в следующих легитимных opensource-приложениях:

  • Cake VPN 
  • Pacific VPN 
  • eVPN
  • BeatPlayer
  • QR/Barcode Scanner MAX 
  • Music Player 
  • tooltipnatorlibrary 
  • QRecorder

Примечательно, что под каждую модификацию злоумышленники создавали поддельный аккаунт разработчика на Google Play и соответствующий репозиторий на GitHub. Однако эта дополнительная мера защиты оказалась шита белыми нитками: все аккаунты разработчика были зарегистрированы под одним и тем же адресом Gmail.

Специалисты Check Point передали в Google результаты исследования 28 января. Девятого февраля они получили ответ, подтверждающий удаление всех заряженных Clast82 приложений из интернет-магазина. 

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Норму о штрафах за поиск экстремистских материалов скорректируют
Яков Шпунт 09 Октября 2025 - 16:42
Соответствие законодательству РФ Общее
Норму о штрафах за поиск экстремистских материалов скорректируют

Минцифры в ближайшее время сформирует рабочую группу для корректировки нормы о наказаниях за поиск материалов, признанных экстремистскими. В ведомстве намерены внести в неё ряд исключений.

Об этом рассказала глава Лиги безопасного интернета Екатерина Мизулина в беседе с корреспондентом издания «Фонтанка», сославшись на ответ Минцифры на свой запрос.

«Речь идёт о правках, касающихся журналистской деятельности, когда такие инструменты необходимы», — уточнила Екатерина Мизулина.

Ранее Мизулина критиковала новую норму, отмечая, что она мешает работе возглавляемой ею организации, занимающейся мониторингом распространения информации, связанной с экстремистскими материалами.

Главный редактор медиагруппы «Россия сегодня» и телеканала RT Маргарита Симоньян также заявляла, что эти положения создают препятствия для журналистов, особенно при проведении расследований, связанных с деятельностью экстремистских группировок.

Напомним, норма была внесена в июле, ко второму чтению законопроекта, посвящённого регулированию транспортно-экспедиторской деятельности. Поправки также запрещали рекламу технических средств, позволяющих обходить блокировки интернет-ресурсов.

Председатель комитета Госдумы по информационной политике, информационным технологиям и связи Сергей Боярский отметил, что действие нормы распространяется только на тех, кто «осознанно и злонамеренно» ищет подобные материалы в интернете и уже находится в поле зрения правоохранительных органов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенник обманул пенсионерку под видом астронавта
Новость
Мошенник обманул пенсионерку под видом астронавта
В России предложили штрафовать за поиск экстремистских материалов и VPN
Новость
В России предложили штрафовать за поиск экстремистских матер...
Российский рынок служб каталогов в 2025 году оценивают в 3 млрд руб.
Новость
Российский рынок служб каталогов в 2025 году оценивают в 3 м...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.