Pesquisadores de segurança descobriram um dropper, programa malicioso projetado para introduzir outro malware em dispositivos móveis, escondido dentro de dez aplicativos do Google Play, que poderia colocar os usuários em risco de acesso remoto e malware bancário.
Denominado “Clast82”, o malware foi encontrado em aplicativos legítimos — incluindo VPNs, leitores de QR e tocadores de música — por pesquisadores da Check Point Research (CPR), braço de inteligência em ameaças da Check Point Software.
Segundo a equipe do CPR, o Clast82 descarta o malware-as-a-service AlienBot Banker, capaz de contornar códigos de autenticação de dois fatores em aplicativos bancários para dar aos cibercriminosos acesso às contas dos usuários. Ele também é capaz de carregar um trojan de acesso remoto móvel (MRAT) capaz de controlar remotamente o telefone da vítima com o TeamViewer.
Ele foi projetado para contornar o Google Play Protect com duas táticas principais. A primeira é usando o Firebase de propriedade do Google para comunicações de comando e controle (C&C). O agente da ameaça também desativou o comportamento malicioso do conta-gotas enquanto estava sendo avaliado pelo Google, de acordo com a Check Point.
Os pesquisadores da Check Point apontam o método de ataque usado pelo Clast82: A vítima baixava um aplicativo malicioso da Google Play Store que contém o Clast82. O malware se comunicava com o servidor de comando e controle (C&C) para receber a configuração. Depois, ele baixava uma carga recebida pela configuração para o dispositivo Android e a instalava o AlienBot Banker. Feito isso, os cibercriminosos acessavam as credenciais bancárias da vítima e procediam de modo a ter o controle total do dispositivo móvel.
Veja isso
Campanha de espionagem explora Google Play para distribuir malware
Google Play adota novas políticas para barrar ‘fleeceware’
O Clast82 se utilizou de uma série de técnicas para evitar ser detectado pelo Google Play Protect:
• Firebase (de propriedade do Google) como uma plataforma para comunicação C&C: durante o período de avaliação do Clast82 na Google Play, os cibercriminosos alteraram as configurações no nível de comando e controle usando o Firebase. Por sua vez, o cibercriminoso “desabilitou” o comportamento malicioso do Clast82 durante esse período de avaliação do Google.
• GitHub como uma plataforma de hospedagem de terceiros para baixar o payload: para cada aplicativo, o cibercriminoso criou um novo usuário na loja Google Play com um repositório na sua conta do GitHub, o que permitia ao atacante distribuir diferentes payloads para os dispositivos infectados por cada aplicativo malicioso.
Dez aplicativos envolvidos
Os cibercriminosos usaram aplicativos Android legítimos e de código aberto conhecidos que foram:
Clast82 Malware na loja Google Play:
Em 28 de janeiro, o Google foi informado a respeito dessas descobertas e, em 9 de fevereiro confirmou que todos os aplicativos Clast82 foram removidos da Google Play Store.
“O cibercriminoso por trás do Clast82 conseguiu contornar as proteções da Google Play usando uma metodologia criativa. Com uma simples manipulação de recursos de terceiros facilmente acessíveis, como uma conta GitHub ou uma conta FireBase, ele aproveitou os recursos para desviar-se das proteções da Google Play Store. As vítimas pensaram que estavam baixando um aplicativo inofensivo do Android, mas o que realmente receberam foi um trojan perigoso que foi diretamente para suas contas bancárias”, explica Aviran Hazum, diretor de pesquisa de ameaças móveis da Check Point.