16/03/2021

16/03/2021

Check Point Research descobriu mais 10 apps com malware que estavam no Google Play


Mais uma semana, mais um lote de apps com malware no Google Play.


A Check Point Research (CPR), área de Threat Intelligence da  Check Point Software Technologies Ltd., fornecedor líder especializado em soluções de cibersegurança a nível global, descobriu recentemente um programa malicioso inserido em 10 aplicações utilitárias da Google Play Store. Designado “Clast82” pelos investigadores, o dropper contornou as medidas de proteção da plataforma, sendo capaz de ativar o segundo estádio de ataque, no qual o hacker conseguiria aceder às contas bancárias das vítimas e exercer controlo sobre os seus telemóveis.

 

Método do Clast82

O Clast82 dissemina o AlienBot Banker, o malware-as-a-service que alcança as aplicações financeiras, contornando os códigos de autenticação dupla requeridos tipicamente. Atualmente, o Clast82 está equipado com um trojan de acesso remoto (MRAT) capaz de controlar o dispositivo através da funcionalidade TeamViewer, dando ao atacante o poder de execução que este teria se tivesse o telemóvel fisicamente nas suas mãos.

 

Os investigadores da Check Point descrevem o método de ataque em 4 fases:

  1. Vítima faz download de uma aplicação utilitária presente na plataforma Google Play Store que contém o dropper Clast82
  2. Clast82 comunica com o servidor C&C para receber a configuração
  3. Clast82 faz download do payload recebido pela configuração, o AlienBot Banker, instalando-o, de seguida, no dispositivo Android
  4. Hacker adquire acesso às credenciais financeiras da vítima, conseguindo controlar inteiramente o seu telemóvel

 

Manipulação de terceiros para evitar a deteção da Google

O Clast82 utiliza uma série de técnicas para se evadir à deteção da Google Play Protect, entre as quais:

 

  • Utiliza o FireBase detido pela Google como plataforma para comunicação C&C. O atacante responsável pelo Clast82 alterou a configuração do comando e controlo através do FireBase, “desativando” o comportamento malicioso do Clast82, tornando-o indetetável no processo de avaliação de ameaças levado a cabo pela Google.
  • Utiliza o GitHub como plataforma terceira para fazer download do payload. Para cada aplicação, o agente malicioso criou um novo perfil de programador na Google Play Store, em conjunto com o repositório da sua conta no GitHub. Este modus operandi permitiu-lhe distribuir diferentes payloads pelos dispositivos que foram sendo infetados pelas aplicações maliciosas.

 

O hacker por detrás do Clast82 conseguiu contornar as proteções da Google Play através de uma metodologia criativa, mas muito preocupante. Com uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase, aproveitou recursos prontamente disponíveis. As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai direto às suas contas financeiras,” começa por dizer Rui Duro, Country Manager da Check Point Portugal. “A sua capacidade de se manter indetetável vem reforçar a importância de utilizar soluções de segurança móvel. Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação – e é certo que o fará,” termina o responsável.

 

As 10 aplicações utilitárias envolvidas

O atacante fez uso de aplicações conhecidas e legítimas de código aberto. A lista é seguinte:

 

Nome

Nome do Package

Cake VPN

com.lazycoder.cakevpns

Pacific VPN

com.protectvpn.freeapp

eVPN

com.abcd.evpnfree

BeatPlayer

com.crrl.beatplayers

BeatPlayer

com.crrl.beatplayers

QR/Barcode Scanner MAX

com.bezrukd.qrcodebarcode

eVPN

com.abcd.evpnfree

Music Player

com.revosleap.samplemusicplayers

tooltipnatorlibrary

com.mistergrizzlys.docscanpro

QRecorder

com.record.callvoicerecorder

 

 

 

 

 

 

 

 

 

 

 

 

 

 


Figura 1. Malware Clast82 na Google Play

 

A 28 de janeiro de 2021, a Check Point Research reportou as suas descobertas à Google. No dia 9 de fevereiro, a gigante tecnológica confirmou que todas as aplicações afetadas pelo Clast82 foram removidas da plataforma.  

0 comments:

Publicar um comentário