Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Google Play Store erneut gefährdet

Sicherheitsforscher sind dem neuen Malware-Dropper Clast82 auf die Schliche gekommen, der heimlich Schadprogramme auf ein Smartphone lädt. 

Check Point Research hat den Google Play Store erneut untersucht und wurde fündig. In neun Utility-Apps versteckt sich der Malware-Dropper Clast82, darunter Programme zur Aufzeichnung des Bildschirms oder für VPN-Verbindungen. 

Diese Art von Schädling infiziert echte Anwendungen, wird mit diesen heruntergeladen und installiert, kontaktiert seinen Command & Control Server (C&C), um die Konfiguration zu erhalten und lädt dann heimlich andere Malware auf das Smartphone des Nutzers. Sie ist sozusagen die Vorhut einer Armee, die den Boden bereitet. Clast82 ist vor allem darauf ausgelegt, den Hackern dahinter einen Zugang zu den Bankdaten des Opfers zu verschaffen – und das Mobiltelefon völlig zu übernehmen. Zu diesem Zweck lädt Clast82 die spezielle Malware AlienBot Banker nach, die Zwei-Faktor-Authentifizierungen von Bankkonten umgehen kann. Es handelt sich um eine Malware-as-a-Service, was bedeutet, dass sie im Dark Net vermietet wird und damit jedem Hacker, der zahlen kann, zur Verfügung steht. Gleichzeitig ist Clast82 selbst mit einem Mobile Remote Access Trojaner (MRAT) ausgerüstet, der über die bekannte Anwendung TeamViewer eine Kontrolle über das Smartphone ermöglicht – in solch vollständigem Umfang, als hielte der Hacker das Handy in der Hand. 

Erneut gelang es damit einer Malware, die hauseigene Play Protection von Google links liegen zu lassen. In diesem Fall nutzten die Akteure öffentlich einsehbare Codes von Github (Open Source) und Firebase (Google), um die Erkennung auszutricksen. Im Einzelnen:

 

  • Firebase als Plattform zur Kommunikation mit dem C&C:

Während der Prüfung von Clast82 durch Play Protection haben die Angreifer die Konfiguration der Malware mithilfe von Firebase geändert. Sie haben das schädliche Verhalten vorübergehend deaktiviert, bis Google Play die Prüfung abgeschlossen hatte.

 

  • Github als Plattform für die schädliche Zusatz-Malware:

Die Angreifer haben für jede infizierte App ein neues Entwickler-Konto im Google Play Store erstellt, begleitend zu einem passenden Speicher im Github-Konto der Hacker. Das ermöglichte ihnen, verschiedene Nutzlasten an infizierte Smartphones zu schicken, je nachdem, mit welcher App sie infiziert wurden.

 

Es ist unklar, wie viele Nutzer bereits zum Opfer dieser Malware-Kampagne geworden sind, doch Check Point Research informierte am 28. Januar 2021 verantwortungsbewusst Google und bekam am 9. Februar die Bestätigung, dass die schädlichen Apps aus dem Play Store entfernt wurden. Hier die neun schädlichen Applikationen, die im Google Play Store waren:

 

Name                                                Package_name

Cake VPN                                          com.lazycoder.cakevpns

Pacific VPN                                       com.protectvpn.freeapp

eVPN                                                 com.abcd.evpnfree

BeatPlayer                                        com.crrl.beatplayers

QR/Barcode Scanner MAX           com.bezrukd.qrcodebarcode

eVPN                                                 com.abcd.evpnfree

Music Player                                    com.revosleap.samplemusicplayers

tooltipnatorlibrary                          com.mistergrizzlys.docscanpro

QRecorder                                        com.record.callvoicerecorder

 

Manager of Mobile Research bei Check Point, Aviran Hazum, berichtet zur Nachforschung: „Der Hacker hinter Clast82 war in der Lage, die Schutzmaßnahmen von Google Play mit einer kreativen, aber bedenklichen Methode zu umgehen. Der schlichte Missbrauch von leicht verfügbaren Drittanbieter-Werkzeugen – wie einem GitHub- oder einem FireBase-Konto – reichte aus, um die Schutzmaßnahmen des Google Play Store zu umgehen. Die Opfer dachten, sie würden ein harmloses Dienstprogamm aus dem offiziellen Android-Markt herunterladen. Stattdessen erhielten sie einen gefährlichen Trojaner, der es auf ihre Bankkonten abgesehen hatte. Die Fähigkeit dieses Droppers, unentdeckt zu bleiben, unterstreicht die Wichtigkeit von Sicherheitslösungen für Mobilgeräte. Sie zeigt auch, dass es nicht genügt, eine neue App im Play Store nur während der Testphase zu prüfen und danach für sicher zu halten, sondern es muss das Smartphone selbst geschützt werden.“

 

 

 

 

 

Teaserfoto: © Adobe Stock/BullRun