近日Check Point Research通过 发现了一种新的植入程序Google Play 官店 9 Android 应用程序传播。恶意软件允许攻击者访问受害者的金融账户,并完全控制其手机。Check Point 软件技术公司通知后,Google 从 Google Play 这些应用在商店中被删除。
Check Point的调查结果
Check Point Research (CPR) 最近发现了一种通过 Google Play 商店传播的新植入程序。这个叫 Clast82 植入程序可以避免 Google Play Protect 检测成功通过评估期,将从非恶意有效负荷中删除的有效负荷改为 AlienBot Banker 和 MRAT。
AlienBot 恶意软件家族是 Android 设备的恶意软件是服务 (MaaS),它允许远程攻击者将恶意代码注入用程序中注入恶意代码。攻击者可以获得访问受害者账户的权限,并最终完全控制其设备。在控制设备后,攻击者可以控制某些功能,就像他们实际持有设备一样,比如在设备上安装新的应用程序,甚至使用 TeamViewer 远程控制。
Check Point Research 向 Android 安全团队报告调查结果后,Google 确认所有 Clast82 所有应用都来自 Google Play 删除商店。
在 Google Play 上执行 Clast82 评估期间,从 Firebase C&C 发送的配置包括一个“enable”参数。恶意软件将根据参数值计算“决定”是否触发恶意行为。该参数设置为“false”,并仅当 Google 在 Google Play 发布在上面Clast82 恶意软件只会改变“true”。
恶意软件可以试图避免检测,这证明了为什么需要使用移动安全解决方案。仅仅在评估期间扫描应用程序是不够的,因为攻击者将使用第三方工具来改变应用程序行为。Clast82 植入的有效负荷不来自 Google Play,因此,在提交审查前扫描应用程序实际上并不能阻止恶意有效负载的安装。Check Point 近期推出Harmony Mobile (原名 SandBlast Mobile)它们易于部署、管理和扩展,为移动员工提供全面保护。Harmony Mobile 能够有效防御所有移动攻击向量,既能监控设备本身又可通过应用不断扫描 *** 连接,从而能够检测并抵御此类威胁。
附表:恶意植入程序:
