Israelilais-amerikkalainen tietoturvayhtiö Check Point kertoo löytäneensä uuden malware dropper -tyyppisen haittaohjelman Google Play -sovelluskaupasta. Haittaohjelmaa levitettiin kaikkiaan 9 Android-sovelluksen mukana.
Malware dropper on haittaohjelmatyyppi, joka mahdollistaa muiden haittaohjelmien lataamisen tartunnan saaneeseen laitteeseen. Kyseessä on rikollinen alihankintatoiminta, jossa myydään muille rikollisille pääsyä haittaohjelmien saastuttamiin laitteisiin.
Clast82:ksi nimetty haittaohjelma latasi uhrien puhelimiin kaksi haittaohjelmaa. AlienBot Banker pyrki tyhjentämään uhrinsa verkkopankin ja se osaa jopa ohittaa joidenkin mobiilipankkien kaksivaiheisen suojauksen, jossa sisäänkirjautuminen oli vahvistettava erikseen. Check Point ei selventänyt, koskeeko ominaisuus myös suomalaisia verkkopankkeja.
Laitteelle niin ikään ladattu MRAT-sovellus puolestaan mahdollistaa puhelimen täyden etähallinnan.
Haitake saatiin ujutettua ja piilotettua Google Playhyn teknisesti kehittynein keinoin. Se viestitteli komentopalvelimensa kanssa Googlen omaa sovelluskehitykseen tarkoitettua Firebase-kehitysalustaa käyttäen.
Haittaohjelmat ladattiin niin ikään ohjelmistokehittäjille tarkoitetulta Microsoftin GitHub-alustalta, jossa haittakoodia säilöttiin. Jokaista sovellusta varten luotiin GitHubiin valetunnus.
Haittaohjelmaan oli rakennettu ”sytytin”, joka aktivoi sen Google Playssa julkaisun jälkeen.
– Clast82:n takana oleva hakkeri onnistui ohittamaan Google Playn suojaukset luovalla, mutta pelottavalla menetelmällä. Käyttämällä kolmannen osapuolen palveluita, kuten GitHub- ja Firebase-tilejä, hän sai mahdollisuudet ohittaa Google Playn turvatoimet. Uhrit luulivat lataavansa Android-kaupasta asiallisen sovelluksen, mutta he saivatkin rahojaan havittelevan troijalaisen, Check Pointin mobiilitutkimuksen johtaja Aviran Hazum sanoi tiedotteessa.
Check Pointin mukaan Clast82 on hyvä esimerkki siitä, miten sovellus voi muuttua vihamieliseksi myöhemmin toimitettavalla päivityksellä. Koska itse haittaohjelmakoodia ei toimiteta laitteeseen Google Playn kautta, Googlen turvatoimet eivät havaitse sitä ajoissa.
Haittaohjelmat ujutettiin osaksi oikeita, avoimen lähdekoodin ohjelmia. Myrkytetyt sovellukset olivat:
Cake VPN
Pacific VPN
eVPN
BeatPlayer
QR/Barcode Scanner MAX
eVPN
Music Player
tooltipnatorlibrary
QRecorder
Check Point ilmoitti löydöksistään Googlelle, joka poisti haittaohjelmat sovelluskaupasta.
Jos puhelimessasi on joku näistä sovelluksista, se ei tarkoita automaattisesti tartuntaa. Sovelluksista on Google Playssa tarjolla myös aidot versiot.
Check Point ei julkaissut lukuja, mutta mitä ilmeisimmin saastuneita sovelluksia ei ladattu kovin suuria määriä. Tapaus kuitenkin kertoo siitä, miten verkkorikolliset kehittelevät koko ajan uusia keinoja sovelluskauppojen suojausten kiertämiseksi.
