您有 Android 智能手机吗 在 个应用程序中发现危险恶意软件

asikiya5050

谷歌应用商店仍然是犯罪分子和恶意软件的主要目标。目前，Google Play 商店中已发现 9 个恶意应用程序。Clast82（其名称为 Clast82）绕过了平台的安全措施，一旦安装了应用程序，用户就会下载它们。 下载时，用户认为他们正在安装一个无害的应用程序。然而，恶意软件即服务以及远程访问特洛伊木马的传播已渗透到金融应用程序，从而使攻击者能够完全控制设备。 Android 上的恶意软件应用程序插图 根据安全公司Check Point的调查，Clast82背后的攻击者成功逃脱了谷歌安全检测。该恶意软件使用了对现有第三方平台（例如 GitHub 和 FireBase）的简单操纵。这样，他就能够利用现成的资源。 研究人员确定了该恶意程序攻击的不同阶段，还公开了 9 个受感染的应用程序，这些应用程序已被 Google 删除。

Clast82 恶意软件的工作原理 Clast82 传播 AlienBot Banker，这是一种针对金融应用程序的恶意软件即服务，绕过通常需要的双重身份验证代码。目前，Clast82 配备了远程访问木马 (MRAT)，能够通过 TeamViewer 功能控制设备，从而为 哈萨克斯坦 WhatsApp 号码列表 攻击者提供了与手机实际握在手中时一样的执行能力。 研究人员将攻击方法描述为 4 个阶段： 受害者下载了 Google Play 商店平台上存在的实用程序应用程序，其中包含 Clast82 dropper Clast82与C&C服务器通信以接收配置 Clast82 下载配置接收到的有效负载AlienBot Banker，然后将其安装到 Android 设备上 黑客获得了受害者的财务凭证，并成功完全控制了他们的手机 第三方操纵以避免被谷歌检测 Clast82 使用一系列技术来逃避 Google Play Protect 检测，包括： 它使用Google旗下的FireBase作为C&C通信的平台。



负责 Clast82 的攻击者通过 FireBase 更改了命令和控制配置，“禁用”了 Clast82 的恶意行为，使其在 Google 进行的威胁评估过程中无法检测到。 使用GitHub作为第三方平台下载payload。对于每个应用程序，恶意行为者都会在 Google Play 商店上创建一个新的开发人员配置文件，并结合您的 GitHub 帐户存储库。这种作案手法使他能够在被恶意应用程序感染的设备之间分发不同的有效负载。 例如，Cake VPN 恶意应用程序基于合法的GitHub 存储库。 攻击是在用户没有意识到发生了什么的情况下精心策划的。您的 Android 设备已被入侵，一切对用户都是透明的。 Clast82 背后的黑客通过一种创造性但非常令人担忧的方法成功绕过了 Google Play 的保护。因此，通过对现有第三方平台（例如 GitHub 和 FireBase）的简单操作，它就利用了现成的资源。