Clast82

Une nouvelle campagne menaçante ciblant les utilisateurs d'Android a été découverte par les chercheurs d'Infosec. L'opération implique la distribution de charges utiles de logiciels malveillants à travers neuf applications menaçantes qui ont pu contourner les mesures de sécurité du Google Play Store. Pour y parvenir, les acteurs de la menace ont utilisé un tout nouveau compte-gouttes de malware nommé Clast82.

Selon les conclusions des analystes de sécurité, Clast82 a été injecté dans des applications open source légitimes connues. Au total, neuf applications de ce type ont pu pénétrer le magasin mobile de Google: BeatPlayer, Cake VPN, eVPN (deux versions différentes), Music Player, Pacific VPN, QR / Barcode Scanner MAX, QRecorder et tooltipnattorlibrary. Chaque application armée avait son propre référentiel de code sur GitHub, ainsi qu'un nouvel utilisateur développeur pour le Google Play Store. Les preuves suggèrent qu'un seul acteur de la menace est à l'origine de l'opération - tous les faux comptes de développeur utilisaient la même adresse e-mail tandis que la page Politique était non seulement identique pour chaque application, mais elle pointait également vers le même référentiel GitHub.

Chaîne d'attaque Clast82

Le compte-gouttes Clast82 a joué un rôle essentiel dans la campagne d'attaque. La menace malveillante détermine s'il faut déclencher son comportement menaçant en fonction d'un paramètre spécifique reçu pendant la période d'évaluation pour le Google Play Store. Ce paramètre est défini sur «false» par défaut et ne deviendra «true» qu'après la publication de l'application portant Clast82 sur le magasin.

Une fois que les utilisateurs ont téléchargé l'une des applications menaçantes, Clast82 activera un service chargé de récupérer la charge utile de l'étape suivante. Le compte-gouttes contourne l'exigence d'Android d'afficher une notification en cours pour son action en affichant ce que l'on appelle une notification `` neutre ''. Par exemple, l'utilisateur recevra un message indiquant simplement «GooglePlayServices» sans aucun détail supplémentaire. Si l'appareil compromis est configuré pour bloquer toute installation d'application provenant de sources inconnues, Clast82 commencera à harceler l'utilisateur avec de fausses demandes conçues pour apparaître comme si elles provenaient des services Google Play. Les invites intrusives seront générées toutes les cinq secondes.

Sur la plupart des appareils infectés, Clast82 a déployé un malware infostealer appelé AlienBot. Cette menace particulière est disponible à l'achat en tant que malware-as-a-service (MaaS) et permet aux attaquants d'injecter du code dans des applications bancaires légitimes. L'objectif est de collecter des informations de paiement telles que des informations d'identification bancaires ou des détails de carte de crédit / débit. Dans quelques cas, cependant, l'attaque contre les appareils compromis a été intensifiée en abandonnant MRAT , un outil malveillant de collecte de données qui a été détecté pour la première fois en 2014 lorsqu'il a été utilisé contre des manifestants de Hong Kong.

Après avoir été informé de la campagne d'attaque, Google a supprimé toutes les fausses applications Clast82 disponibles sur le Play Store.