SALVA LA GALASSIA CON MASS EFFECT LEGENDARY EDITIONKerbal Space Program 2: serie più semplice per i nuovi giocatoriZTE: i suoi prodotti 5G ottengono punteggi alti per la valutazione ...Ghostrunner: annunciato il sequelLorella Boccia : mi ispiro a Ellen De GeneresKasia Smutniak : I diritti delle donne vanno tutelati!Covid-19 : Cala ancora l'indice di trasmissibilità RtGTA Online: ricompense doppie nelle Missioni Veicoli SpecialiGETSUFUMADEN: UNDYING MOON DISPONIBILE SU STEAM IN ACCESSO ANTICIPATOThe Sims 4 annuncia Oasi in Giardino KitXbox compie 20 anni! Al via le celebrazioniGeForce NOW: Biomutant e altri 15 giochi in arrivoDualSense: dal prossimo mese disponibili due nuove colorazioniZTE Axon 30 Ultra Lancio GlobaleHunter, i miglior brand di irrigatoriLG OLED TV TRASFORMA LE CASE IN GALLERIE D’ARTERisultati Serie A 36.a giornataCovid-19 : I casi nel mondo superano i 160 MlnKnockout City Block Party DariusBurst: Another Chronicle EX + uscirà a giugno per PS4 e Switch50 DERBY CUP: Derby della Capitale con PESDomani sarà disponibile l'espansione di Assassin’s Creed Valhalla, ...Xperia 10 III, lo smartphone 5G compatto e veloce è in arrivoBattlefield 6 anche su console Old-GenPaolo Brosio e Maria Laura De Vitis si sono lasciati
di Giuseppe Saieva di martedì 9 marzo 2021

Google Play Store: pericoloso malware trovato in 9 utility app

Google Play Store: pericoloso malware trovato in 9 utility app

Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies Ltd., ha scoperto un nuovo dropper - programma ideato per diffondere malware al telefono di una vittima - all'interno di 9 app di utility su Google Play Store.

Soprannominato “Clast82” dai ricercatori, il dropper ha bypassato le protezioni dello store per attivare un secondo malware che ha dato l'accesso dell'hacker ai conti finanziari delle vittime, così come il controllo dei loro smartphone. 

Come agisce Clast82

Clast82 rilascia il malware-as-a-service AlienBot Banker, un malware di secondo stadio che prende di mira le app finanziarie bypassando i codici di autenticazione a due fattori per tali servizi. Allo stesso tempo, Clast82 è dotato di un trojan di accesso remoto mobile (MRAT) in grado di controllare il dispositivo con TeamViewer, rendendo l'hacker il vero possessore a insaputa della vittima.

Check Point ha delineato il metodo di attacco di Clast82 come segue:

  1. La vittima scarica un'app di utility dannosa da Google Play, contenente il dropper Clast82
  2. Clast82 comunica con il server C&C per ricevere la configurazione
  3. Clast82 scarica il payload ricevuto dalla configurazione e lo installa sul dispositivo Android - in questo caso, l'AlienBot Banker
  4. L'hacker ottiene l'accesso alle credenziali finanziarie della vittima e procede a controllare per intero lo smartphone della vittima

Un’alterazione delle risorse di terze parti per nascondersi da Google

Clast82 utilizza una serie di tecniche per eludere il rilevamento di Google Play Protect. In particolare, Clast82:

  • Utilizza Firebase (di proprietà di Google) come piattaforma per la comunicazione C&C.
    Durante la valutazione di Clast82 su Google Play, l'hacker ha cambiato la configurazione di comandi e controlli utilizzando Firebase. Dopodiché ha “disabilitato” il comportamento dannoso di Clast82 durante l’analisi da parte di Google.
  • Utilizza GitHub come piattaforma di hosting di terze parti da cui scaricare il payload.
    Per ogni app, l'aggressore ha creato un nuovo utente sviluppatore per Google Play Store, insieme a un repository sull'account GitHub dell'attore, permettendo così di distribuire diversi payload ai dispositivi che sono stati infettati da ogni app dannosa.

Le 9 applicazioni di utilità coinvolte

L'hacker ha utilizzato app Android legittime e conosciute open-source. Ecco l’elenco:

Name

Package_name

Cake VPN

com.lazycoder.cakevpns

Pacific VPN

com.protectvpn.freeapp

eVPN

com.abcd.evpnfree

BeatPlayer

com.crrl.beatplayers

QR/Barcode Scanner MAX

com.bezrukd.qrcodebarcode

eVPN

com.abcd.evpnfree

Music Player

com.revosleap.samplemusicplayers

tooltipnatorlibrary

com.mistergrizzlys.docscanpro

QRecorder

com.record.callvoicerecorder


Comunicazione responsabile

CPR ha comunicato le sue scoperte a Google il 28 gennaio 2021. Lo scorso 9 febbraio, Google ha confermato che tutte le app Clast82 sono state rimosse dal Google Play Store.

Aviran Hazum, Manager of Mobile Research di Check Point, ha dichiarato:

“L'hacker dietro Clast82 è stato in grado di aggirare le protezioni di Google Play utilizzando una metodologia creativa, ma preoccupante. Con una semplice manipolazione di risorse di terze parti facilmente reperibilii - come un account GitHub, o un account FireBase - l'hacker è stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store. Le vittime pensavano di scaricare un'innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari. La capacità del dropper di rimanere inosservato dimostra l'importanza del perché è necessaria una soluzione di sicurezza mobile. Non è sufficiente eseguire la scansione dell'app durante l’analisi, in quanto un attore malintenzionato può, e lo farà, cambiare il comportamento dell'app utilizzando strumenti di terze parti.”

Altre News per: googleplaystorepericolosomalwaretrovatoutility