Check Point在 Google Play 商店应用中发现了危险恶意软件植入程序

近日Check Point Research 发现一种新型植入程序正通过 Google Play 官方商店中的 9款Android应用进行传播。该恶意软件允许攻击者获取受害者金融账户的访问权限，并完全控制其手机。在收到 Check Point软件技术公司的通知后，Google 从Google Play 商店中删除了这些应用。

Check Point的调查结果

Check Point Research (CPR) 最近发现了一种通过 Google Play 商店传播的新植入程序。这一名为Clast82的植入程序能够逃避 Google Play Protect 的检测，成功渡过评估期，并将从非恶意有效负载中删除的有效负载更改为AlienBot Banker和 MRAT。

AlienBot 恶意软件家族是一种针对 Android设备的恶意软件即服务(MaaS)，它允许远程攻击者将恶意代码注入合法的金融应用中。攻击者能够获得对受害者账户的访问权限，并最终完全控制其设备。在控制设备后，攻击者便可控制某些功能，就像他们实际持有设备一样，例如将新应用安装至设备，甚至使用TeamViewer进行远程控制。

Check Point Research 向 Android 安全团队报告了其调查结果后，Google 确认所有 Clast82 应用均已从GooglePlay 商店中删除。

在 Google Play 上执行 Clast82 评估期间，从 FirebaseC&C发送的配置包含一个“enable”参数。根据参数的值，恶意软件将“决定”是否触发恶意行为。这一参数被设置为“false”，并仅当 Google 在GooglePlay 上发布了 Clast82 恶意软件后才会更改为“true”。

该恶意软件能够设法逃避检测，这证明了为何需要采用移动安全解决方案的重要性。仅在评估期间扫描应用还远远不够，因为攻击者将会利用第三方工具更改应用行为。由于Clast82植入的有效负载并非来自 Google Play，因此在提交审查之前对应用进行扫描实际上无法阻止恶意有效负载的安装。CheckPoint近期推出的Harmony Mobile (原名为SandBlastMobile)提供了广泛的功能，它们易于部署、管理和扩展，可为移动员工提供全面保护。HarmonyMobile能够有效防御所有移动攻击向量，既能监控设备本身又可通过应用不断扫描网络连接，从而能够检测并抵御此类威胁。

附表：恶意植入程序：

鸿蒙官方战略合作共建——HarmonyOS技术社区