Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies Ltd., ha scoperto un nuovo dropper (programma ideato per diffondere malware al telefono Android di una vittima) nascosto dentro 9 app di utility su Google Play Store.
Soprannominato โClast82โ dai ricercatori, il dropper ha bypassato le protezioni dello store per attivare un secondo malware che ha dato l’accesso dell’hacker ai conti finanziari delle vittime, cosรฌ come il controllo dei loro smartphone.
Clast82, il malware Android nelle app del Google Play Store
Clast82 rilascia il malware-as-a-service AlienBot Banker, un malware di secondo stadio che prende di mira le app finanziarie bypassando i codici di autenticazione a due fattori per tali servizi. Allo stesso tempo, Clast82 รจ dotato di un trojan di accesso remoto mobile (MRAT) in grado di controllare il dispositivo con TeamViewer, rendendo l’hacker il vero possessore a insaputa della vittima.
Check Point ha delineato il metodo di attacco di Clast82 come segue:
- La vittima scarica un’app di utility dannosa da Google Play, contenente il dropper Clast82.
- Clast82 comunica con il server C&C per ricevere la configurazione.
- Clast82 scarica il payload ricevuto dalla configurazione e lo installa sul dispositivo Android – in questo caso, l’AlienBot Banker.
- L’hacker ottiene l’accesso alle credenziali finanziarie della vittima e procede a controllare per intero lo smartphone della vittima.
Unโalterazione delle risorse di terze parti per nascondersi da Google
- Clast82 utilizza una serie di tecniche per eludere il rilevamento di Google Play Protect. In particolare, Clast82:
- Utilizza Firebase (di proprietร di Google) come piattaforma per la comunicazione C&C.
- Durante la valutazione di Clast82 su Google Play, l’hacker ha cambiato la configurazione di comandi e controlli utilizzando Firebase. Dopodichรฉ ha โdisabilitatoโ il comportamento dannoso di Clast82 durante lโanalisi da parte di Google.
- Utilizza GitHub come piattaforma di hosting di terze parti da cui scaricare il payload.
- Per ogni app, l’aggressore ha creato un nuovo utente sviluppatore per Google Play Store, insieme a un repository sull’account GitHub dell’attore, permettendo cosรฌ di distribuire diversi payload ai dispositivi che sono stati infettati da ogni app dannosa.
Le 9 applicazioni infette
L’hacker ha utilizzato app Android legittime e conosciute open-source. Ecco lโelenco:
- Cake VPN
- Pacific VPN
- eVPN
- BeatPlayer
- QR/Barcode Scanner MAX
- eVPN
- Music Player
- tooltipnatorlibrary
- QRecorder
Google ha confermato che tutte le app Clast82 sono state rimosse dal Google Play Store a partire dallo scorso 9 febbraio. Se qualcuno di voi dovesse aver ancora installato una di queste applicazioni farebbe bene a disinstallarla e procedere a un reset dello smartphone, con maggiori informazioni sul malware reperibili alla pagina web del blog inglese di Checkpoint.
Aviran Hazum, Manager of Mobile Research di Check Point, ha dichiarato:
L’hacker dietro Clast82 รจ stato in grado di aggirare le protezioni di Google Play utilizzando una metodologia creativa, ma preoccupante. Con una semplice manipolazione di risorse di terze parti facilmente reperibilii โ come un account GitHub, o un account FireBase โ l’hacker รจ stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store.
Le vittime pensavano di scaricare un’innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari. La capacitร del dropper di rimanere inosservato dimostra l’importanza del perchรฉ รจ necessaria una soluzione di sicurezza mobile. Non รจ sufficiente eseguire la scansione dell’app durante lโanalisi, in quanto un attore malintenzionato puรฒ, e lo farร , cambiare il comportamento dell’app utilizzando strumenti di terze parti.
