Check Point Research: individuato un malware in alcune app di utility presenti su Google Play Store
Check Point Research, divisione Threat Intelligence di Check Point Software Technologies Ltd., ha scoperto un nuovo dropper, un programma creato per installare un malware sul telefono dei malcapitati, presente all’interno di 9 app di utility disponibili su Google Play Store.
I ricercatori hanno soprannominato il malware “Clast82“, tramite il quale l’hacker ha avuto la possibilità di bypassare le protezioni dello store di Google, rilasciare il malware-as-a-service di secondo stadio AlienBot Banker, che prende di mira le app finanziarie, bypassando i codici di autenticazione a due fattori per tali servizi, e prendere il controllo degli smartphone con TeamViewer, ad insaputa delle vittime, grazie a un trojan di accesso remoto mobile (MRAT).
Per eludere il rilevamento di Google Play Protect, in particolare, l’hacker ha utilizzato Firebase (di proprietà di Google), per cambiare la configurazione di comandi e controlli durante la valutazione di Clast82 su Google Play, e, in seguito, ha “disabilitato” il comportamento dannoso di Clast82 durante l’analisi da parte di Google.
Inoltre, l’hacker ha creato per ogni app un nuovo utente sviluppatore per Google Play Store, insieme a un repository sull’account GitHub dell’attore, distribuendo così diversi payload ai dispositivi infettati dalle app dannose.
Secondo Check Point Research, dunque, dopo che la vittima ha scaricato l’app di utility dannosa da Google Play (contenente il dropper Clast82), il malware: comunica con il server C&C per ricevere la configurazione, scarica il payload ricevuto dalla configurazione e lo installa sul dispositivo Android (in questo case AlienBot Banker). Infine, l’hacker ottiene l’accesso alle credenziali finanziarie della vittima e procede a controllare il suo smartphone.
Per conoscere in tempo reale le novità degli operatori di telefonia, è possibile unirsi gratuitamente al canale Telegram di MondoMobileWeb per essere sempre informati sul mondo della telefonia mobile.
Queste le parole di Aviran Hazum, Manager of Mobile Research di Check Point:
L’hacker dietro Clast82 è stato in grado di aggirare le protezioni di Google Play utilizzando una metodologia creativa, ma preoccupante.
Con una semplice manipolazione di risorse di terze parti facilmente reperibili, come un account GitHub, o un account FireBase, l’hacker è stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store.
Le vittime pensavano di scaricare un’innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari.
La capacità del dropper di rimanere inosservato dimostra l’importanza del perché è necessaria una soluzione di sicurezza mobile. Non è sufficiente eseguire la scansione dell’app durante l’analisi, in quanto un attore malintenzionato può, e lo farà, cambiare il comportamento dell’app utilizzando strumenti di terze parti.
Le app di utility coinvolte sono state: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary e QRecorder.
Si ricorda, però, che il 28 gennaio 2021 Check Point Research ha comunicato le suddette scoperte al diretto interessato Google, il quale, lo scorso 9 febbraio 2021, ha confermato di aver rimosso tutte le app Clast82 dal Google Play Store.
Per rimanere aggiornato sulle novità della telefonia seguici su Google News cliccando sulla stella, Telegram, Facebook, X e Instagram. Condividi le tue opinioni o esperienze nei commenti.
