Pplware

Tem um smartphone Android? Encontrado malware perigoso em 9 apps

A loja de aplicações da Google continua a ser um alvo preferencial dos criminosos e do malware. Agora foram descobertas 9 aplicações maliciosas presentes na Google Play Store. O Clast82, designação atribuída, contornou as medidas de segurança da plataforma e, assim que as apps eram instaladas era transferido pelos utilizadores.

Os utilizadores ao descarregar julgavam estar a instalar uma aplicação inócua. Contudo, era disseminado um malware-as-a-service que alcançava as aplicações financeiras, bem como um trojan de acesso remoto, que conferia ao atacante o controlo total do dispositivo.


Segundo a investigação da empresa de segurança Check Point, o atacante por detrás do Clast82 conseguiu escapar à deteção de segurança da Google. O malware usou uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase. Com isso conseguiu aproveitar -se dos recursos prontamente disponíveis.

Os investigadores identificaram as diferentes fases que compõem um ataque deste programa malicioso, divulgando ainda as 9 aplicações infetadas, entretanto já removidas pela Google.

 

Como funciona o malware Clast82

O Clast82 dissemina o AlienBot Banker, o malware-as-a-service que procura as aplicações financeiras, contornando os códigos de autenticação dupla requeridos tipicamente. Atualmente, o Clast82 está equipado com um trojan de acesso remoto (MRAT) capaz de controlar o dispositivo através da funcionalidade TeamViewer, dando ao atacante o poder de execução que este teria se tivesse o telemóvel fisicamente nas suas mãos.

Os investigadores descrevem o método de ataque em 4 fases:

  1. Vítima faz download de uma aplicação utilitária presente na plataforma Google Play Store que contém o dropper Clast82
  2. O Clast82 comunica com o servidor C&C para receber a configuração
  3. Clast82 faz download do payload recebido pela configuração, o AlienBot Banker, instalando-o, de seguida, no dispositivo Android
  4. Hacker adquire acesso às credenciais financeiras da vítima, conseguindo controlar inteiramente o seu telemóvel

Manipulação de terceiros para evitar a deteção da Google

O Clast82 utiliza uma série de técnicas para se evadir à deteção da Google Play Protect, entre as quais:

Por exemplo, a aplicação maliciosa Cake VPN é baseado num repositório GitHub legítimo.

O ataque é orquestrado sem que o utilizador perceba o que se está a passar. O seu dispositivo Android fica comprometido e tudo é transparente para o utilizador.

O hacker por detrás do Clast82 conseguiu contornar as proteções da Google Play através de uma metodologia criativa, mas muito preocupante. Assim, com uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase, aproveitou recursos prontamente disponíveis.

As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai direto às suas contas financeiras. A sua capacidade de se manter indetetável vem reforçar a importância de utilizar soluções de segurança móvel. Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação – e é certo que o fará.

Referiram os responsáveis da empresa de segurança.

 

As 9 aplicações de malware envolvidas

O atacante fez uso de aplicações conhecidas e legítimas de código aberto. A lista é seguinte:

 

A 28 de janeiro de 2021, a empresa reportou as suas descobertas à Google. No dia 9 de fevereiro, a gigante tecnológica confirmou que todas as aplicações afetadas pelo Clast82 foram removidas da plataforma. Se tem alguma destas apps, remova já.

Exit mobile version