Clast82：运用谷歌运用商铺来传达歹意软件

  Check Point研究人员近来发现了一款经过谷歌官方运用商铺来传达的开释器歹意软件——Clast82，该开释器是用来下载和装置AlienBot银行木马和MRAT。Clast82 开释器运用了一系列的技能来绕过谷歌Play 运用商铺的维护检测，在成功完结评价后，会将payload从非歹意的payload修改为AlienBot银行木马和MRAT。

  AlienBot 歹意软件宗族是一种针对安卓设备的歹意软件即服务（Malware-as-a-Service，MaaS)。首要，长途攻击者运用该服务能够注入歹意代码到合法的金融运用中；然后，获取受害者账户的拜访权限，最终彻底操控该设备。在操控了设备后，攻击者就能操控特定的函数，就好像能够物理触摸手机设备相同。

  歹意软件作者运用了许多方法来绕过运用商铺的安全查看机制。Clast82 运用Firebase 作为C2 通讯渠道，并运用GitHub来下载歹意payload，此外，还运用合法和已知的开源安卓运用来刺进Dropper 功用。

  对每个运用，歹意软件作者都会在谷歌运用商铺中创立一个新的开发者用户，并创立一个GitHub账户，这样该开发者用户就能够分发不同的payload给每个歹意运用感染的设备了。比方，歹意Cake VPN app便是根据同名的开源软件。该APP发动后，就会运用Firebase 实时数据库来提取GitHub上的payload途径，然后下载和装置在方针设备上。

  假如从不知道源下载APP的选项没有敞开，Clast82 就会每隔5秒向用户弹出虚伪的Google Play Services 弹窗来诱运用户敞开该权限，最终用它来装置安卓银行木马MaaS——AlienBot，AlienBot 能够从金融APP 中盗取凭据和双因子认证码信息。

  研究人员称，Clast82 背面的开发者运用第三方源来绕过谷歌运用商铺维护的方法十分新颖。受害者其时下载和装置的是从官方运用商场下载的非歹意运用，可是之后会装置的是盗取隐私信息的木马。