Check Point在Google Play商店應(yīng)用中發(fā)現(xiàn)了危險惡意軟件植入程序

近日Check Point Research發(fā)現(xiàn)一種新型植入程序正通過Google Play官方商店中的9款A(yù)ndroid應(yīng)用進(jìn)行傳播。該惡意軟件允許攻擊者獲取受害者金融賬戶的訪問權(quán)限，并完全控制其手機(jī)。在收到Check Point軟件技術(shù)公司的通知后，Google從Google Play商店中刪除了這些應(yīng)用。

我們的調(diào)查結(jié)果

Check Point Research(CPR)最近發(fā)現(xiàn)了一種通過Google Play商店傳播的新植入程序。這一名為Clast82的植入程序能夠逃避Google Play Protect的檢測，成功渡過評估期，并將從非惡意有效負(fù)載中刪除的有效負(fù)載更改為AlienBot Banker和MRAT。

AlienBot惡意軟件家族是一種針對Android設(shè)備的惡意軟件即服務(wù)(MaaS)，它允許遠(yuǎn)程攻擊者將惡意代碼注入合法的金融應(yīng)用中。攻擊者能夠獲得對受害者賬戶的訪問權(quán)限，并最終完全控制其設(shè)備。在控制設(shè)備后，攻擊者便可控制某些功能，就像他們實際持有設(shè)備一樣，例如將新應(yīng)用安裝至設(shè)備，甚至使用TeamViewer進(jìn)行遠(yuǎn)程控制。

Check Point Research向Android安全團(tuán)隊報告了其調(diào)查結(jié)果后，Google確認(rèn)所有Clast82應(yīng)用均已從Google Play商店中刪除。

在Google Play上執(zhí)行Clast82評估期間，從Firebase C&C發(fā)送的配置包含一個“enable”參數(shù)。根據(jù)參數(shù)的值，惡意軟件將“決定”是否觸發(fā)惡意行為。這一參數(shù)被設(shè)置為“false”，并僅當(dāng)Google在Google Play上發(fā)布了Clast82惡意軟件后才會更改為“true”。

該惡意軟件能夠設(shè)法逃避檢測，這證明了為何需要采用移動安全解決方案的重要性。僅在評估期間掃描應(yīng)用還遠(yuǎn)遠(yuǎn)不夠，因為攻擊者將會利用第三方工具更改應(yīng)用行為。由于Clast82植入的有效負(fù)載并非來自Google Play，因此在提交審查之前對應(yīng)用進(jìn)行掃描實際上無法阻止惡意有效負(fù)載的安裝。Check Point近期推出的Harmony Mobile（原名為SandBlast Mobile）提供了廣泛的功能，它們易于部署、管理和擴(kuò)展，可為移動員工提供全面保護(hù)。Harmony Mobile能夠有效防御所有移動攻擊向量，既能監(jiān)控設(shè)備本身又可通過應(yīng)用不斷掃描網(wǎng)絡(luò)連接，從而能夠檢測并抵御此類威脅。

附表：惡意植入程序：