A loja de aplicações da Google continua a ser um alvo preferencial dos criminosos e do malware. Agora foram descobertas 9 aplicações maliciosas presentes na Google Play Store. O Clast82, designação atribuída, contornou as medidas de segurança da plataforma e, assim que as apps eram instaladas era transferido pelos utilizadores.
Os utilizadores ao descarregar julgavam estar a instalar uma aplicação inócua. Contudo, era disseminado um malware-as-a-service que alcançava as aplicações financeiras, bem como um trojan de acesso remoto, que conferia ao atacante o controlo total do dispositivo.
Segundo a investigação da empresa de segurança Check Point, o atacante por detrás do Clast82 conseguiu escapar à deteção de segurança da Google. O malware usou uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase. Com isso conseguiu aproveitar -se dos recursos prontamente disponíveis.
Os investigadores identificaram as diferentes fases que compõem um ataque deste programa malicioso, divulgando ainda as 9 aplicações infetadas, entretanto já removidas pela Google.
Como funciona o malware Clast82
O Clast82 dissemina o AlienBot Banker, o malware-as-a-service que procura as aplicações financeiras, contornando os códigos de autenticação dupla requeridos tipicamente. Atualmente, o Clast82 está equipado com um trojan de acesso remoto (MRAT) capaz de controlar o dispositivo através da funcionalidade TeamViewer, dando ao atacante o poder de execução que este teria se tivesse o telemóvel fisicamente nas suas mãos.
Os investigadores descrevem o método de ataque em 4 fases:
- Vítima faz download de uma aplicação utilitária presente na plataforma Google Play Store que contém o dropper Clast82
- O Clast82 comunica com o servidor C&C para receber a configuração
- Clast82 faz download do payload recebido pela configuração, o AlienBot Banker, instalando-o, de seguida, no dispositivo Android
- Hacker adquire acesso às credenciais financeiras da vítima, conseguindo controlar inteiramente o seu telemóvel
Manipulação de terceiros para evitar a deteção da Google
O Clast82 utiliza uma série de técnicas para se evadir à deteção da Google Play Protect, entre as quais:
- Utiliza o FireBase detido pela Google como plataforma para comunicação C&C. O atacante responsável pelo Clast82 alterou a configuração do comando e controlo através do FireBase, “desativando” o comportamento malicioso do Clast82, tornando-o indetetável no processo de avaliação de ameaças levado a cabo pela Google.
- Utiliza o GitHub como plataforma terceira para fazer download do payload. Para cada aplicação, o agente malicioso criou um novo perfil de programador na Google Play Store, em conjunto com o repositório da sua conta no GitHub. Este modus operandi permitiu-lhe distribuir diferentes payloads pelos dispositivos que foram sendo infetados pelas aplicações maliciosas.
Por exemplo, a aplicação maliciosa Cake VPN é baseado num repositório GitHub legítimo.
O ataque é orquestrado sem que o utilizador perceba o que se está a passar. O seu dispositivo Android fica comprometido e tudo é transparente para o utilizador.
O hacker por detrás do Clast82 conseguiu contornar as proteções da Google Play através de uma metodologia criativa, mas muito preocupante. Assim, com uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase, aproveitou recursos prontamente disponíveis.
As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai direto às suas contas financeiras. A sua capacidade de se manter indetetável vem reforçar a importância de utilizar soluções de segurança móvel. Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação – e é certo que o fará.
Referiram os responsáveis da empresa de segurança.
As 9 aplicações de malware envolvidas
O atacante fez uso de aplicações conhecidas e legítimas de código aberto. A lista é seguinte:
- Cake VPN – com.lazycoder.cakevpns
- Pacific VPN – com.protectvpn.freeapp
- eVPN – com.abcd.evpnfree
- BeatPlayer – com.crrl.beatplayers
- QR/Barcode Scanner MAX – com.bezrukd.qrcodebarcode
- eVPN – com.abcd.evpnfree
- Music Player – com.revosleap.samplemusicplayers
- tooltipnatorlibrary – com.mistergrizzlys.docscanpro
- QRecorder – com.record.callvoicerecorder
A 28 de janeiro de 2021, a empresa reportou as suas descobertas à Google. No dia 9 de fevereiro, a gigante tecnológica confirmou que todas as aplicações afetadas pelo Clast82 foram removidas da plataforma. Se tem alguma destas apps, remova já.