9 ứng dụng Android bị phát hiện phát tán mã độc MRAT

[WhiteHat News #ID:3333]

Các nhà nghiên cứu vừa phát hiện một dropper độc hại, Clast82, được nhúng trong 9 ứng dụng Android trên Google Play. Mã độc này có khả năng xâm nhập vào tài khoản tài chính của nạn nhân, chiếm quyền kiểm soát thiết bị.
"Clast82 sử dụng một loạt kỹ thuật để tránh Google Play Protect phát hiện, vượt qua việc đánh giá trước khi “thả” hai payload độc hại là AlienBot Banker và MRAT", các nhà nghiên cứu cho biết.

Các app đã được sử dụng cho chiến dịch gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Các ứng dụng giả mạo đã bị xóa khỏi Google Play Store ngày 9 tháng 2.
Mã độc đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra của Google, bao gồm mã hóa để ẩn các string tránh bị các công cụ phân tích phát hiện, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống. Điều đó cho thấy kẻ xấu liên tục phát triển các kỹ thuật mới nhằm vượt qua nỗ lực của Google trong việc bảo mật nền tảng của hãng.
Phổ biến không kém là các phương pháp khác như kỹ thuật versioning (tải phiên bản sạch của ứng dụng lên Google Play để xây dựng lòng tin của người dùng và sau đó lén lút thêm mã độc vào các bản cập nhật ứng dụng) và lợi dụng độ trễ thời gian để kích hoạt chức năng độc hại nhằm tránh bị Google phát hiện.

​

Clast82 sử dụng Firebase làm nền tảng cho giao tiếp C2 và sử dụng GitHub để tải xuống các payload độc hại, ngoài ra còn tận dụng các ứng dụng Android nguồn mở hợp pháp để chèn Dropper.
"Đối với mỗi ứng dụng, kẻ xấu tạo tài khoản nhà phát triển mới trên Google Play, cùng một kho lưu trữ trên GitHub, từ đó có thể phân phối các payload khác nhau cho các thiết bị đã bị nhiễm", các nhà nghiên cứu phân tích.
Trong trường hợp chức năng cài đặt app từ nguồn không rõ ràng bị tắt, Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc "Dịch vụ Google Play" giả để người dùng kích hoạt chức năng, cuối cùng sử dụng chức năng đó để cài đặt AlienBot, một mã độc ngân hàng Android có khả năng đánh cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụ ng tài chính.
Tháng trước, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã trở thành công cụ lừa đảo sau khi cập nhật thay đổi nhà phát triển. Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên The Great Suspender đã bị vô hiệu hóa sau khi có báo cáo cho rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị khai thác để thực thi mã tùy ý từ một máy chủ từ xa.
Hacker đứng sau Clast82 đã có thể vượt qua lớp bảo vệ của Google Play bằng cách sử dụng một phương pháp sáng tạo nhưng rất đáng quan tâm. Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 - như tài khoản GitHub hoặc tài khoản FireBase, hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua các cơ chế bảo vệ của Google Play. Các nạn nhân nghĩ rằng mình đang tải xuống một ứng dụng tiện ích vô hại từ kho chính thống, nhưng thực chất lại là một trojan nguy hiểm ".

Theo: The Hacker News​