Atenção: Descobertas na Play Store 10 aplicações com malware perigoso

A Check Point descobriu recentemente um programa malicioso inserido em 10 aplicações utilitárias da Google Play Store. Designado “Clast82” pelos investigadores, o dropper contornou as medidas de protecção da plataforma, sendo capaz de activar o segundo estádio de ataque, no qual o hacker conseguiria aceder às contas bancárias das vítimas e exercer controlo sobre os seus telemóveis.

Método do Clast82

O Clast82 dissemina o AlienBot Banker, o malware-as-a-service que alcança as aplicações financeiras, contornando os códigos de autenticação dupla requeridos tipicamente. Atualmente, o Clast82 está equipado com um trojan de acesso remoto (MRAT) capaz de controlar o dispositivo através da funcionalidade TeamViewer, dando ao atacante o poder de execução que este teria se tivesse o telemóvel fisicamente nas suas mãos.

Os investigadores da Check Point descrevem o método de ataque em 4 fases:

1. Vítima faz download de uma aplicação utilitária presente na plataforma Google Play Store que contém o dropper Clast82
2. Clast82 comunica com o servidor C&C para receber a configuração
3. Clast82 faz download do payload recebido pela configuração, o AlienBot Banker, instalando-o, de seguida, no dispositivo Android
4. Hacker adquire acesso às credenciais financeiras da vítima, conseguindo controlar inteiramente o seu telemóvel

Manipulação de terceiros para evitar a deteção da Google

O Clast82 utiliza uma série de técnicas para se evadir à detecção da Google Play Protect, entre as quais:

• Utiliza o FireBase detido pela Google como plataforma para comunicação C&C. O atacante responsável pelo Clast82 alterou a configuração do comando e controlo através do FireBase, “desactivando” o comportamento malicioso do Clast82, tornando-o indetetável no processo de avaliação de ameaças levado a cabo pela Google.
• Utiliza o GitHub como plataforma terceira para fazer download do payload. Para cada aplicação, o agente malicioso criou um novo perfil de programador na Google Play Store, em conjunto com o repositório da sua conta no GitHub. Este modus operandi permitiu-lhe distribuir diferentes payloads pelos dispositivos que foram sendo infectados pelas aplicações maliciosas.

“O hacker por detrás do Clast82 conseguiu contornar as protecções da Google Play através de uma metodologia criativa, mas muito preocupante. Com uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase, aproveitou recursos prontamente disponíveis. As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai directo às suas contas financeiras,” começa por dizer Rui Duro, Country Manager da Check Point Portugal. “A sua capacidade de se manter indetetável vem reforçar a importância de utilizar soluções de segurança móvel. Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação – e é certo que o fará,” termina o responsável.

As 10 aplicações utilitárias envolvidas

O atacante fez uso de aplicações conhecidas e legítimas de código aberto. A lista é seguinte:

• Cake VPN
• Pacific VPN
• eVPN
• BeatPlayer
• BeatPlayer
• QR/Barcode Scanner MAX
• eVPN
• Music Player
• tooltipnatorlibrary
• QRecorder

Joel Pinto

Website

Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.