Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android

Ny skadlig programvara har upptäckts som infekterar Android-enheter med AlienBot Banker och MRAT

Check Point-forskare har upptäckt en ny skadlig kampanj i Google Playstore, där en angripare sprider en dropper genom olika appar för att infektera användare med AlienBot Banker och MRAT. Droppern, som heter Clast82, använder Firebase för att ansluta till C2 och GitHub för att erhålla den skadliga nyttolasten.

Clast82 – En ny Android Malware Dropper

Hackare använder i sina arbetssätt flera tekniker för att undvika upptäckt. Detta kan vara användningen av legitim programvara, social ingenjörskonst, etc. En ny skadlig programvara upptäckt av forskare vid Check Pointhar ett cybersäkerhetsföretag använt en av dessa tekniker för att förbli osäker och infektera Android-enheter för att stjäla data.

Enligt rapportenflera appar som hittats i Google Playstore har en skadlig programvara Clast82som var ren när den installerades och inte har flaggats som misstänkt av Google vid listning. Men efter att ha installerats i enheten ansluter dropparen till hackarens C2 via Firebase för instruktioner. Dessa ska lära sig varifrån den ska skaffa den skadliga nyttolasten.

Clast82 Attack Flow. Källa: Check Point

Det har rapporterats att hackaren har satt över 100 nyttolastvägar för att styra sin droppare. Allt från GitHub! Detta är intressant eftersom nyttolaster som anskaffats från legitima vägar som GitHub inte kommer att höja några flaggor av antivirusprogramvaran, vilket gör flödet jämnare. Den skadliga nyttolasten som tas in är AlienBot Banker och MRAT.

AlienBot är en banktrojan som infekterar enheter och ger befogenheter fjärrhantering av enheten till författare. Det slutliga målet med AlienBot är att stjäla bankuppgifterna och 2FA-koderna för målet. Forskare upptäckte den här misstänkta aktiviteten efter att ha hittat e-postadresserna och GitHub-kontona i de appar i Google Playstore som tillhör en.

Tillverkaren av denna dropper har justerat spridningsapparna på ett sådant sätt att de mjukt följer Googles Playstore-regler och även utför sitt skadliga arbete. Till exempel, för att en regel ska visa ett meddelande högst upp, namnger dessa appar förgrundsprocessen som körs i deras appar som Google Play-tjänster.

De ber också om att installera om appen från okända källor och skulle tvinga användare att tillåta dem frekventa meddelanden. Appar som bär denna dropper visade sig vara Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary och QRecorder. Efter den första upptäckten den 27 januari tog Google bort de berörda apparna från Playstore den 9 februari.