Hacker se snažil vysát bankovní účty. Zaviroval aplikace v Google Play

„Hacker, který stojí za mobilní hrozbou Clast82, dokázal obelstít ochranu Google Play kreativním a zároveň znepokojivým způsobem. Jednoduše manipuloval snadno dostupnými zdroji třetích stran, jako jsou účty na GitHub nebo FireBase,“ přiblížil celou kauzu Petr Kadrmas, bezpečnostní výzkumník Check Pointu.

Oběti si tak myslely, že stahují neškodnou utilitu – ve skutečnosti si ale pustili do svého zařízení nebezpečného trojského koně, který cílil na finanční účty. „Hrozba se dokázala vyhnout odhalení, což znovu ukazuje, proč je potřeba používat nějaké pokročilé preventivní mobilní bezpečnostní řešení. Nestačí jen aplikaci oskenovat při stahování, protože kyberzločinci mohou a budou měnit její chování pomocí snadno dostupných nástrojů třetích stran,“ podotkl Kadrmas.

Společně s infikovanou aplikací se do zařízení nainstaluje i dropper Clast82. Ten slouží k tomu, aby mohli útočníci do napadeného zařízení propašovat  další škodlivý kód. V podstatě otevře zadní vrátka do systému.

U všech devíti zavirovaných aplikací, které byly odhaleny, zmiňovaný dropper instaloval AlienBot Banker. Tento virus dovoluje vysát lidem bankovní účty. Dokonce je připraví i o peníze, které ve skutečnosti nemají, protože prostřednictvím něj mohou útočníci zprostředkovat i půjčku u banky – i to je totiž prostřednictvím internetového bankovnictví v mobilu možné, doslova na pár kliků. AlienBot Banker dovede obejít i dvoufaktorovou autentizaci.

„Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce,“ doplnil bezpečnostní výzkumník.

Zavirovány byly aplikace Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, eVPN, Music Player, tooltipnatorlibrary a QRecorder. Google již všechny na upozornění Check Pointu odstranil, respektive nahradil legitimními verzemi.

Není nicméně vyloučeno, že se dropper Clast82 objeví v budoucnu u nějakého dalšího programu.