Die Sicherheitsforscher von Check Point Research haben erneut den Google Play Store untersucht und sind dabei dem neuen Malware-Dropper Clast82 auf die Schliche gekommen. Clast82 lädt heimlich Schadprogramme auf ein Smartphone und versteckt sich In 9 Utility-Apps, darunter Programme zur Aufzeichnung des Bildschirms oder für VPN-Verbindungen.
Diese Art von Schädling infiziert echte Anwendungen, wird mit diesen heruntergeladen und installiert, kontaktiert seinen Command & Control Server (C&C), um die Konfiguration zu erhalten und lädt dann heimlich andere Malware auf das Smartphone des Nutzers. Sie ist sozusagen die Vorhut einer Armee, die den Boden bereitet.
Clast82 ist vor allem darauf ausgelegt, den Hackern dahinter einen Zugang zu den Bankdaten des Opfers zu verschaffen – und das Mobiltelefon völlig zu übernehmen. Zu diesem Zweck lädt Clast82 die Malware AlienBot Banker nach, die Zwei-Faktor-Authentifizierungen von Bankkonten umgehen kann. AlienBot Banker wird als Malware-as-a-service im Dark Net vermietet und steht damit jedem Hacker, der zahlen kann, zur Verfügung.
Gleichzeitig ist Clast82 selbst mit einem Mobile Remote Access Trojan (MRAT) ausgerüstet, der über die bekannte Anwendung TeamViewer eine Kontrolle über das Smartphone ermöglicht – in solch vollständigem Umfang, als hielte der Hacker das Handy in der Hand.
Erneut gelang es damit einer Malware, die hauseigene Play Protection von Google links liegen zu lassen. In diesem Fall nutzten die Akteure öffentlich einsehbare Codes von Github (Open Source) und Firebase (Google), um die Erkennung auszutricksen. Im Einzelnen:
- Firebase als Plattform zur Kommunikation mit dem C&C: Während der Prüfung von Clast82 durch Play Protection haben die Angreifer die Konfiguration der Malware mithilfe von Firebase geändert. Sie haben das schädliche Verhalten vorübergehend deaktiviert, bis Google Play die Prüfung abgeschlossen hatte.
- Github als Plattform für die schädliche Zusatz-Malware: Die Angreifer haben für jede infizierte App ein neues Entwickler-Konto im Google Play Store erstellt, begleitend zu einem passenden Speicher im Github-Konto der Hacker. Das ermöglichte ihnen, verschiedene Nutzlasten an infizierte Smartphones zu schicken, je nachdem, mit welcher App sie infiziert wurden.
Es ist unklar, wie viele Nutzer bereits zum Opfer dieser Malware-Kampagne geworden sind, doch Check Point Research informierte am 28. Januar 2021 Google und bekam am 9. Februar die Bestätigung, dass die folgenden schädlichen Apps aus dem Play Store entfernt wurden:
- Cake VPN
- Pacific VPN
- eVPN
- BeatPlayer
- QR/Barcode Scanner MAX
- eVPN
- Music Player
- tooltipnatorlibrary
- QRecorder
Aviran Hazum, Manager of Mobile Research bei Check Point, berichtet zur Nachforschung: „Der Hacker hinter Clast82 war in der Lage, die Schutzmaßnahmen von Google Play mit einer kreativen, aber bedenklichen Methode zu umgehen. Der schlichte Missbrauch von leicht verfügbaren Drittanbieter-Werkzeugen – wie einem GitHub-Konto oder einem FireBase-Konto – reichte aus, um die Schutzmaßnahmen des Google Play Store zu umgehen.“
„Die Opfer dachten, sie würden ein harmloses Dienstprogamm aus dem offiziellen Android-Markt herunterladen. Stattdessen erhielten sie einen gefährlichen Trojaner, der es auf ihre Bankkonten abgesehen hatte. Die Fähigkeit dieses Droppers, unentdeckt zu bleiben, unterstreicht die Wichtigkeit von Sicherheitslösung für Mobilgeräte. Sie zeigt auch, dass es nicht genügt, eine neue App im Play Store nur während der Testphase zu prüfen und danach für sicher zu halten, sondern es muss das Smartphone selbst geschützt werden.“