Check Point在 Google Play 商店应用中发现了危险恶意软件植入程序

2021-03-11 15:03

近日Check Point Research 发现一种新型植入程序正通过 Google Play 官方商店中的 9 款Android 应用进行传播。该恶意软件允许攻击者获取受害者金融账户的访问权限，并完全控制其手机。在收到 Check Point 软件技术公司的通知后，Google 从 Google Play 商店中删除了这些应用。

我们的调查结果

Check Point Research （CPR）最近发现了一种通过 Google Play 商店传播的新植入程序。这一名为 Clast82 的植入程序能够逃避 Google Play Protect 的检测，成功渡过评估期，并将从非恶意有效负载中删除的有效负载更改为 AlienBot Banker 和 MRAT。

AlienBot 恶意软件家族是一种针对 Android 设备的恶意软件即服务（MaaS），它允许远程攻击者将恶意代码注入合法的金融应用中。攻击者能够获得对受害者账户的访问权限，并最终完全控制其设备。在控制设备后，攻击者便可控制某些功能，就像他们实际持有设备一样，例如将新应用安装至设备，甚至使用 TeamViewer 进行远程控制。

Check Point Research 向 Android 安全团队报告了其调查结果后，Google 确认所有 Clast82 应用均已从 Google Play 商店中删除。

在 Google Play 上执行 Clast82 评估期间，从 Firebase C＆C 发送的配置包含一个“enable”参数。根据参数的值，恶意软件将“决定”是否触发恶意行为。这一参数被设置为“false”，并仅当 Google 在 Google Play 上发布了 Clast82 恶意软件后才会更改为“true”。

该恶意软件能够设法逃避检测，这证明了为何需要采用移动安全解决方案的重要性。仅在评估期间扫描应用还远远不够，因为攻击者将会利用第三方工具更改应用行为。由于 Clast82 植入的有效负载并非来自 Google Play，因此在提交审查之前对应用进行扫描实际上无法阻止恶意有效负载的安装。Check Point 近期推出的 Harmony Mobile （原名为 SandBlast Mobile）提供了广泛的功能，它们易于部署、管理和扩展，可为移动员工提供全面保护。Harmony Mobile 能够有效防御所有移动攻击向量，既能监控设备本身又可通过应用不断扫描网络连接，从而能够检测并抵御此类威胁。

附表：恶意植入程序：

名称	程序包名称
Cake VPN	com．lazycoder．cakevpns
Pacific VPN	com．protectvpn．freeapp
eVPN	com．abcd．evpnfree
BeatPlayer	com．crrl．beatplayers
QR／Barcode Scanner MAX	com．bezrukd．qrcodebarcode
eVPN	com．abcd．evpnfree
Music Player	com．revosleap．samplemusicplayers
tooltipnatorlibrary	com．mistergrizzlys．docscanpro
QRecorder	com．record．callvoicerecorder