Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

Загрузчик троянов проник в Google Play, прикрывшись GitHub и Firebase

На Google Play обнаружены девять приложений с кодом Clast82, загружающим троянов AlienBot и mRAT. Обойти защитные механизмы интернет-магазина злоумышленникам помогло несколько уловок, в том числе использование репозиториев на GitHub и облачного сервиса Firebase. Узнав о новой неприятной находке, Google удалила зараженные программы из доступа.

Проведенный в Check Point Software анализ показал, что Clast82, добавленный в  легитимное приложение, умеет скрывать свое вредоносное поведение во время проверки на Google Play. В этом ему помогает параметр, присланный в конфигурационном файле с C2-сервера, к которому загрузчик обращается через Firebase. Значение параметра false запрещает ему выполнять основную задачу, значение true, получаемое после публикации зараженного приложения в магазине, дает «зеленый свет» на загрузку целевого APK по указанной ссылке.

Полезная нагрузка при этом хранится на GitHub. Если опция загрузки приложений из неизвестных источников на Android отключена, Clast82 каждые пять минут отображает жертве поддельное сообщение сервисов Google Play, убеждая ее разрешить установку.

 

Как оказалось, конечной целью операторов Clast82 являлась загрузка и запуск шпиона mRAT либо банковского трояна AlienBot. Последний не только ворует учетные данные и 2FA-коды из клиентов финансовых организаций, но также открывает удаленный доступ к Android-устройству, который злоумышленники могут использовать, например, для запуска TeamViewer. В ходе тестирования аналитики насчитали более 100 уникальных образцов AlienBot, загружаемых с помощью Clast82.

Код этого загрузчика был выявлен в следующих легитимных opensource-приложениях:

  • Cake VPN 
  • Pacific VPN 
  • eVPN
  • BeatPlayer
  • QR/Barcode Scanner MAX 
  • Music Player 
  • tooltipnatorlibrary 
  • QRecorder

Примечательно, что под каждую модификацию злоумышленники создавали поддельный аккаунт разработчика на Google Play и соответствующий репозиторий на GitHub. Однако эта дополнительная мера защиты оказалась шита белыми нитками: все аккаунты разработчика были зарегистрированы под одним и тем же адресом Gmail.

Специалисты Check Point передали в Google результаты исследования 28 января. Девятого февраля они получили ответ, подтверждающий удаление всех заряженных Clast82 приложений из интернет-магазина. 

Психологический тест с сюрпризом: хакеры атакуют госсектор через BusySnake

Психологический тест в письме может оказаться не заботой о ментальном здоровье, а входным билетом для стилера. Эксперты «Лаборатории Касперского» обнаружили активную вредоносную кампанию, нацеленную на государственный и электроэнергетический секторы России, Казахстана и Бразилии.

По данным исследователей, за атаками может стоять ранее не упоминавшаяся группировка Armored Likho.

Злоумышленники используют новый стилер BusySnake, который крадет данные с зараженных Windows-устройств, делает скриншоты, вытаскивает пароли из браузеров и отправляет конфиденциальные файлы на командный сервер.

Основной способ заражения — фишинговые письма с архивами. Легенды меняются: где-то жертве предлагают пройти психологический тест, где-то — оформить заявку на гуманитарную помощь. Названия архивов подгоняются под тему письма, чтобы всё выглядело убедительнее.

 

После запуска содержимого на экране может открыться приложение-приманка с опросом или документ, соответствующий легенде. Пока пользователь смотрит на психологию или помощь, в фоне запускается многоэтапная цепочка загрузки, которая приводит к установке BusySnake.

Сам стилер написан на Python и уже существует в нескольких версиях. Он умеет красть данные из буфера обмена, перехватывать пароли из Firefox и Chromium-браузеров, похищать cookie через отдельный модуль и собирать файлы с устройства. В коде также предусмотрены механизмы, которые мешают обнаружению и усложняют анализ.

Любопытная деталь: загрузчики, через которые BusySnake попадает на устройство, судя по анализу кода, могли быть сгенерированы с помощью ИИ. Исследователи отмечают характерные избыточные комментарии и блоки кода.

В «Лаборатории Касперского» считают, что Armored Likho совмещает кибершпионаж против организаций с финансово мотивированными атаками на частных пользователей. Группировка развивает инструменты и встраивает в них функции, которые раньше использовала отдельно.

RSS: Новости на портале Anti-Malware.ru