近日Check Point Research 發(fā)現(xiàn)一種新型植入程序正通過 Google Play 官方商店中的 9 款Android 應用進行傳播。該惡意軟件允許攻擊者獲取受害者金融賬戶的訪問權限，并完全控制其手機。在收到 Check Point 軟件技術公司的通知后，Google 從 Google Play 商店中刪除了這些應用。

我們的調(diào)查結(jié)果

Check Point Research （CPR） 最近發(fā)現(xiàn)了一種通過 Google Play 商店傳播的新植入程序。這一名為 Clast82 的植入程序能夠逃避 Google Play Protect 的檢測，成功渡過評估期，并將從非惡意有效負載中刪除的有效負載更改為 AlienBot Banker 和 MRAT。

AlienBot 惡意軟件家族是一種針對 Android 設備的惡意軟件即服務 （MaaS），它允許遠程攻擊者將惡意代碼注入合法的金融應用中。攻擊者能夠獲得對受害者賬戶的訪問權限，并最終完全控制其設備。在控制設備后，攻擊者便可控制某些功能，就像他們實際持有設備一樣，例如將新應用安裝至設備，甚至使用 TeamViewer 進行遠程控制。

Check Point Research 向 Android 安全團隊報告了其調(diào)查結(jié)果后，Google 確認所有 Clast82 應用均已從 Google Play 商店中刪除。

在 Google Play 上執(zhí)行 Clast82 評估期間，從 Firebase C＆C 發(fā)送的配置包含一個“enable”參數(shù)。根據(jù)參數(shù)的值，惡意軟件將“決定”是否觸發(fā)惡意行為。這一參數(shù)被設置為“false”，并僅當 Google 在 Google Play 上發(fā)布了 Clast82 惡意軟件后才會更改為“true”。

該惡意軟件能夠設法逃避檢測，這證明了為何需要采用移動安全解決方案的重要性。僅在評估期間掃描應用還遠遠不夠，因為攻擊者將會利用第三方工具更改應用行為。由于 Clast82 植入的有效負載并非來自 Google Play，因此在提交審查之前對應用進行掃描實際上無法阻止惡意有效負載的安裝。Check Point 近期推出的 Harmony Mobile （原名為 SandBlast Mobile）提供了廣泛的功能，它們易于部署、管理和擴展，可為移動員工提供全面保護。Harmony Mobile 能夠 有 效防御 所有移動攻擊向量，既能監(jiān)控設備本身又可通過應用不斷掃描網(wǎng)絡連接，從而能夠檢測并抵御此類威脅。

附表：惡意植入程序：