I ricercatori di sicurezza hanno scoperto un malware ben nascosto all’interno di 10 app di Google Play, che avrebbe potuto mettere gli utenti a rischio di accesso remoto e malware bancario.
Check Point ha affermato di aver trovato Clast82 all’interno di una varietà di applicazioni sul market place ufficiale, tra cui VPN, lettori QR e lettori musicali.
Clast82 rilascia il malware-as-a-service AlienBot Banker, progettato per aggirare i codici di autenticazione a due fattori sulle app bancarie per consentire agli aggressori di accedere agli account degli utenti. È anche in grado di caricare un trojan di accesso remoto mobile (MRAT) in grado di controllare a distanza il telefono della vittima con TeamViewer.
È progettato per aggirare Google Play Protect con due tattiche principali. Il primo è l’utilizzo di Firebase di proprietà di Google per le comunicazioni di comando e controllo (C&C). Secondo Check Point, l’attore della minaccia ha anche disabilitato il comportamento dannoso del malware mentre veniva valutato da Google.
In secondo luogo, scarica il payload da GitHub, creando un nuovo utente sviluppatore per Google Play per ciascuna applicazione, insieme a un repository sul proprio account GitHub. Ciò ha consentito all’autore dell’attacco di distribuire diversi payload ai dispositivi infettati da ciascuna versione dannosa dell’app.
Aviran Hazum, responsabile della ricerca mobile presso Check Point, ha definito le tattiche “creative, ma preoccupanti” nella loro apparente semplicità.
“Le vittime pensavano di scaricare un’innocua app di utilità dallo store Android ufficiale, ma quello che stavano ottenendo in realtà era un pericoloso Trojan che si occupava direttamente dei loro conti finanziari”, ha aggiunto.
“La capacità del dropper di non essere rilevato dimostra l’importanza del motivo per cui gli utenti dovrebbero installare una soluzione di sicurezza mobile sul proprio dispositivo. Non è sufficiente eseguire la scansione dell’app durante il periodo di valutazione, poiché un malintenzionato può e cambierà il comportamento dell’applicazione utilizzando strumenti di terze parti prontamente disponibili”.
Dopo aver segnalato i suoi risultati a Google il 28 gennaio 2021, Check Point ha notato che tutte le app Clast82 sono state rimosse da Google Play il 9 febbraio.