Clast82

Eine neue Bedrohungskampagne mit Android-Nutzern als Ziel wurde von Infosec-Forschern aufgedeckt. Der Vorgang umfasst die Verteilung von Malware-Nutzdaten über neun bedrohliche Anwendungen, die die Sicherheitsmaßnahmen des Google Play Store umgehen konnten. Um dies zu erreichen, verwendeten die Bedrohungsakteure einen brandneuen Malware-Dropper namens Clast82.

Nach den Erkenntnissen der Sicherheitsanalysten wurde Clast82 in bekannte legitime Open-Source-Anwendungen injiziert. Insgesamt neun solcher Anwendungen konnten in Googles Mobile Store eindringen - BeatPlayer, Cake VPN, eVPN (zwei verschiedene Versionen), Music Player, Pacific VPN, QR / Barcode-Scanner MAX, QRecorder und Tooltipnattorlibrary. Jede Waffenanwendung hatte ein eigenes Code-Repository auf GitHub sowie einen neuen Entwicklerbenutzer für den Google Play Store. Es gibt Hinweise darauf, dass ein einziger Bedrohungsakteur hinter dem Vorgang steckt. Alle gefälschten Entwicklerkonten verwendeten dieselbe E-Mail-Adresse, während die Richtlinienseite nicht nur für jede Anwendung identisch war, sondern auch auf dasselbe GitHub-Repository verwies.

Clast82 Angriffskette

Die Clast82-Pipette spielte eine wesentliche Rolle in der Angriffskampagne. Die Malware-Bedrohung bestimmt anhand eines bestimmten Parameters, der während des Testzeitraums für den Google Play Store empfangen wurde, ob das Bedrohungsverhalten ausgelöst werden soll. Dieser Parameter ist standardmäßig auf "false" gesetzt und wird erst auf "true" gesetzt, nachdem die Clast82-tragende Anwendung im Store veröffentlicht wurde.

Sobald Benutzer eine der bedrohlichen Anwendungen heruntergeladen haben, aktiviert Clast82 einen Dienst, der für das Abrufen der Nutzdaten der nächsten Stufe verantwortlich ist. Der Dropper umgeht die Anforderung von Android, eine laufende Benachrichtigung für seine Aktion anzuzeigen, indem eine sogenannte "neutrale" Benachrichtigung angezeigt wird. Beispielsweise wird dem Benutzer eine Nachricht angezeigt, in der lediglich "GooglePlayServices" ohne zusätzliche Details angegeben ist. Wenn das gefährdete Gerät so eingestellt ist, dass Anwendungsinstallationen von unbekannten Quellen blockiert werden, belästigt Clast82 den Benutzer mit gefälschten Anforderungen, die so aussehen sollen, als stammten sie von Google Play Services. Die aufdringlichen Eingabeaufforderungen werden alle fünf Sekunden generiert.

Auf den meisten infizierten Geräten stellte Clast82 eine Infostealer-Malware namens AlienBot bereit. Diese besondere Bedrohung kann als Malware-as-a-Service (MaaS) erworben werden und ermöglicht es Angreifern, Code in legitime Bankanwendungen einzufügen. Ziel ist es, Zahlungsinformationen wie Bankdaten oder Kredit- / Debitkartendaten zu sammeln. In einigen Fällen wurde der Angriff auf die kompromittierten Geräte jedoch durch das Löschen von MRAT eskaliert, einem Malware-Tool zur Datenerfassung, das bereits 2014 entdeckt wurde, als es gegen Demonstranten in Hongkong eingesetzt wurde.

Nach der Benachrichtigung über die Angriffskampagne hat Google alle im Play Store verfügbaren gefälschten Clast82-Anwendungen entfernt.