Các nhà nghiên cứu cho biết: "Clast82 sử dụng một loạt kỹ thuật để tránh Google Play Protect phát hiện, vượt qua việc đánh giá trước khi thả hai payload độc hại là AlienBot Banker và MRAT".
Các ứng dụng này đã được sử dụng cho chiến dịch gồm Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary và QRecorder. Được biết, các ứng dụng giả mạo đã bị xóa khỏi Google Play Store ngày 09/02/2021.
Mã độc đã sử dụng nhiều phương pháp khác nhau để vượt qua cơ chế kiểm tra của Google, bao gồm mã hóa để ẩn các string tránh bị các công cụ phân tích phát hiện, tạo phiên bản giả mạo của ứng dụng hợp pháp hoặc tạo ra các đánh giá giả để thu hút người dùng tải xuống. Điều đó cho thấy tin tặc liên tục phát triển các kỹ thuật mới nhằm vượt qua nỗ lực của Google trong việc bảo mật nền tảng của hãng.
Clast82 sử dụng Firebase làm nền tảng cho giao tiếp C2 và sử dụng GitHub để tải xuống các payload độc hại. Ngoài ra, nó còn tận dụng các ứng dụng Android nguồn mở hợp pháp để chèn Dropper.
Các nhà nghiên cứu phân tích: "Đối với mỗi ứng dụng tin tặc tạo tài khoản nhà phát triển mới trên Google Play, cùng một kho lưu trữ trên GitHub, từ đó có thể phân phối các payload khác nhau cho các thiết bị đã bị nhiễm".
Trong trường hợp chức năng cài đặt app từ nguồn không rõ ràng bị tắt, Clast82 liên tục thúc giục người dùng năm giây một lần bằng lời nhắc Dịch vụ Google Play giả để người dùng kích hoạt chức năng, cuối cùng sử dụng chức năng đó để cài đặt AlienBot, một mã độc ngân hàng Android có khả năng đánh cắp thông tin xác thực và mã xác thực hai yếu tố từ các ứng dụng tài chính.
Tháng 02/2021, một ứng dụng máy quét mã vạch phổ biến với hơn 10 triệu lượt cài đặt đã trở thành công cụ lừa đảo sau khi cập nhật thay đổi nhà phát triển.
Trong một diễn biến tương tự, một tiện ích mở rộng của Chrome có tên The Great Suspender đã bị vô hiệu hóa sau khi có báo cáo cho rằng tiện ích bổ sung này đã lén lút thêm các tính năng có thể bị khai thác để thực thi mã tùy ý từ một máy chủ từ xa.
Hacker đứng sau Clast82 đã có thể vượt qua lớp bảo vệ của Google Play bằng cách sử dụng một phương pháp sáng tạo nhưng rất đáng quan tâm. Chỉ với một thao tác đơn giản đối với các tài nguyên sẵn có của bên thứ 3 như tài khoản GitHub hoặc tài khoản FireBase, hacker đã có thể tận dụng các tài nguyên sẵn có để vượt qua các cơ chế bảo vệ của Google Play. Qua đó, các nạn nhân nghĩ rằng mình đang tải xuống một ứng dụng tiện ích vô hại từ kho chính thống, nhưng thực chất lại là một trojan nguy hiểm.
Mai Hương
13:00 | 03/02/2021
08:00 | 12/04/2021
08:00 | 14/06/2021
09:00 | 16/07/2021
13:00 | 20/05/2021
07:00 | 24/05/2021
14:00 | 22/12/2020
11:00 | 22/08/2020
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024