谷歌Play上的9个安卓应用程序被抓获分发AlienBot Banker和MRAT恶意软件

网络安全研究人员发现，通过谷歌Play Store发布的多达9个安卓应用程序中包含一个新的恶意软件滴管，该软件部署了第二阶段恶意软件，能够侵入受害者的财务账户，并完全控制他们的设备。

检查点研究人员Aviran Hazum、Bohdan Melnykov、，以色列沃尼克在今天发表的一篇文章中说。

该活动使用的应用程序包括Cake VPN、Pacific VPN、eVPN、BeatPlayer、QR/Barcode Scanner MAX、Music Player、tooltipnatorlibrary和QRecorder。在调查结果于1月28日向谷歌报告后，流氓应用于2月9日从Play Store中删除。

恶意软件作者已经采取各种方法绕过应用商店审查机制。无论是使用加密技术对分析引擎隐藏字符串、创建非法版本的合法应用程序，还是制作虚假评论诱使用户下载应用程序，欺诈者都在回击谷歌通过不断开发新技术来保护平台安全的企图。

同样流行的还有版本控制等其他方法，它指的是将应用程序的干净版本上传到Play Store，以建立用户之间的信任，然后在稍后阶段通过应用程序更新偷偷添加不需要的代码，并结合基于时间的延迟来触发恶意功能，试图逃避谷歌的检测。

Slat82也一样，它利用Firebase作为指挥与控制（C2）通信平台，并利用GitHub下载恶意有效载荷，此外还利用合法且已知的开源Android应用程序插入滴管功能。

研究人员指出：“对于每个应用程序，参与者都为Google Play store创建了一个新的开发人员用户，以及参与者的GitHub帐户上的一个存储库，从而允许参与者将不同的有效负载分配给被每个恶意应用程序感染的设备。”。

例如，恶意的Cake VPN应用程序被发现基于其同名软件的开源版本，该软件由位于达卡的开发人员Syed Ashraf Ullah创建。但一旦应用程序启动，它就会利用Firebase实时数据库从GitHub检索有效负载路径，然后将其安装到目标设备上。

如果关闭了安装未知来源应用程序的选项，Slat82会每隔五秒钟用假“Google Play Services”提示反复敦促用户启用该权限，最终使用该权限安装AlienBot，安卓银行MaaS（恶意软件即服务）能够从金融应用程序中窃取凭据和双因素身份验证码。

上个月，一款安装量超过1000万的广受欢迎的条形码扫描应用在所有权易手后，只进行了一次更新就变成了流氓。在一个类似的开发中，一个名为“大吊杆”的Chrome扩展被停用，因为有报道称，该插件偷偷添加了一些功能，可以利用这些功能从远程服务器执行任意代码。

Hazum说：“Slat82背后的黑客能够使用一种富有创意但令人担忧的方法绕过Google Play的保护。”。“通过简单地操纵现成的第三方资源—；比如GitHub帐户或FireBase帐户—；黑客就能够利用现成的资源绕过Google Play Store的保护。受害者以为他们是从官方安卓市场下载了一个无害的实用程序应用程序，但他们发现了什么一个危险的特洛伊木马直接入侵了他们的财务账户。"