9 ứng dụng Android bị phát hiện phát tán mã độc MRAT

08:56 | 18/03/2021

Các nhà nghiên cứu vừa phát hiện dropper độc hại Clast82 được nhúng trong 9 ứng dụng Android trên Google Play. Clast82 có khả năng xâm nhập vào tài khoản tài chính của nạn nhân, chiếm quyền kiểm soát thiết bị.

Các nhà nghiên cứu cho biết: "Clast82 sử dụng một loạt kỹ thuật để tránh Google Play Protect phát hiện, vượt qua việc đánh giá trước khi thả hai payload độc hại là AlienBot Banker và MRAT".

Các ứng dụng này đã được sử dụng cho chiến dịch gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Được biết, các ứng dụng giả mạo đã bị xóa khỏi Google Play Store ngày 09/02/2021.

Mã độc đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra của Google, bao gồm mã hóa để ẩn các string tránh bị các công cụ phân tích phát hiện, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống. Điều đó cho thấy tin tặc liên tục phát triển các kỹ thuật mới nhằm vượt qua nỗ lực của Google trong việc bảo mật nền tảng của hãng.

Clast82 sử dụng Firebase làm nền tảng cho giao tiếp C2 và sử dụng GitHub để tải xuống các payload độc hại. Ngoài ra, nó còn tận dụng các ứng dụng Android nguồn mở hợp pháp để chèn Dropper.

Các nhà nghiên cứu phân tích: "Đối với mỗi ứng dụng tin tặc tạo tài khoản nhà phát triển mới trên Google Play, cùng một kho lưu trữ trên GitHub, từ đó có thể phân phối các payload khác nhau cho các thiết bị đã bị nhiễm".

Trong trường hợp chức năng cài đặt app từ nguồn không rõ ràng bị tắt, Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc Dịch vụ Google Play giả để người dùng kích hoạt chức năng, cuối cùng sử dụng chức năng đó để cài đặt AlienBot, một mã độc ngân hàng Android có khả năng đánh cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụng tài chính.

Tháng 02/2021, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã trở thành công cụ lừa đảo sau khi cập nhật thay đổi nhà phát triển.

Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên The Great Suspender đã bị vô hiệu hóa sau khi có báo cáo cho rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị khai thác để thực thi mã tùy ý từ một máy chủ từ xa.

Hacker đứng sau Clast82 đã có thể vượt qua lớp bảo vệ của Google Play bằng cách sử dụng một phương pháp sáng tạo nhưng rất đáng quan tâm. Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 như tài khoản GitHub hoặc tài khoản FireBase, hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua các cơ chế bảo vệ của Google Play. Qua đó, các nạn nhân nghĩ rằng mình đang tải xuống một ứng dụng tiện ích vô hại từ kho chính thống, nhưng thực chất lại là một trojan nguy hiểm.