Google telah menghapus 10 aplikasi dari Play Store yang berisi dropper untuk Trojan keuangan.
Pada hari Selasa, Check Point Research (CPR) mengatakan dalam sebuah posting blog bahwa aplikasi Android tampaknya telah dikirimkan oleh pelaku ancaman yang sama yang membuat akun pengembang baru untuk setiap aplikasi.
Dropper dimuat ke dalam perangkat lunak yang tampak tidak bersalah dan masing-masing dari 10 aplikasi adalah utilitas, termasuk Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, dan QRecorder.
Fungsionalitas utilitas diambil dari aplikasi Android sumber terbuka resmi yang ada.
Untuk menghindari deteksi oleh perlindungan keamanan standar Google, Firebase digunakan sebagai platform untuk komunikasi perintah dan kontrol (C2) dan GitHub disalahgunakan untuk mengunduh payload.
Menurut para peneliti, infrastruktur C2 dropper tersembunyi berisi parameter – aktifkan atau nonaktifkan – untuk ‘memutuskan’ apakah akan memicu fungsi jahat aplikasi atau tidak. Parameter disetel ke “false” hingga Google telah memublikasikan aplikasi, dan kemudian perangkap muncul.
Dijuluki Clast82, CPR mengatakan dropper yang baru ditemukan telah dirancang untuk mengirimkan malware finansial. Setelah dipicu, muatan tahap kedua ditarik dari GitHub termasuk mRAT dan AlienBot.
MRAT digunakan untuk menyediakan akses jarak jauh ke perangkat seluler yang disusupi, sedangkan AlienBot memfasilitasi injeksi kode berbahaya ke dalam aplikasi keuangan yang sah dan ada. Penyerang dapat membajak aplikasi perbankan untuk mendapatkan akses ke akun pengguna dan mencuri data keuangan mereka, dan malware juga akan mencoba mencegat kode otentikasi dua faktor (2FA).
Selengkapnya: ZDNet
