Encontrado malware perigoso em 10 aplicações da Google Play Store

Aplicação

A Check Point Research (CPR), área de Threat Intelligence da  Check Point® Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em soluções de cibersegurança a nível global, descobriu recentemente um programa malicioso inserido em 10 aplicações utilitárias da Google Play Store. Designado “Clast82” pelos investigadores, o dropper contornou as medidas de proteção da plataforma, sendo capaz de ativar o segundo estádio de ataque, no qual o hacker conseguiria aceder às contas bancárias das vítimas e exercer controlo sobre os seus telemóveis.

Método do Clast82

O Clast82 dissemina o AlienBot Banker, o malware-as-a-service que alcança as aplicações financeiras, contornando os códigos de autenticação dupla requeridos tipicamente. Atualmente, o Clast82 está equipado com um trojan de acesso remoto (MRAT) capaz de controlar o dispositivo através da funcionalidade TeamViewer, dando ao atacante o poder de execução que este teria se tivesse o telemóvel fisicamente nas suas mãos.

Os investigadores da Check Point descrevem o método de ataque em 4 fases:

  1. Vítima faz download de uma aplicação utilitária presente na plataforma Google Play Store que contém o dropper Clast82
  2. Clast82 comunica com o servidor C&C para receber a configuração
  3. Clast82 faz download do payload recebido pela configuração, o AlienBot Banker, instalando-o, de seguida, no dispositivo Android
  4. Hacker adquire acesso às credenciais financeiras da vítima, conseguindo controlar inteiramente o seu telemóvel

Manipulação de terceiros para evitar a deteção da Google

O Clast82 utiliza uma série de técnicas para se evadir à deteção da Google Play Protect, entre as quais:

  • Utiliza o FireBase detido pela Google como plataforma para comunicação C&C. O atacante responsável pelo Clast82 alterou a configuração do comando e controlo através do FireBase, “desativando” o comportamento malicioso do Clast82, tornando-o indetetável no processo de avaliação de ameaças levado a cabo pela Google.
  • Utiliza o GitHub como plataforma terceira para fazer download do payload. Para cada aplicação, o agente malicioso criou um novo perfil de programador na Google Play Store, em conjunto com o repositório da sua conta no GitHub. Este modus operandi permitiu-lhe distribuir diferentes payloads pelos dispositivos que foram sendo infetados pelas aplicações maliciosas.

O hacker por detrás do Clast82 conseguiu contornar as proteções da Google Play através de uma metodologia criativa, mas muito preocupante. Com uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase, aproveitou recursos prontamente disponíveis. As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai direto às suas contas financeiras,” começa por dizer Rui Duro, Country Manager da Check Point Portugal. “A sua capacidade de se manter indetetável vem reforçar a importância de utilizar soluções de segurança móvel. Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação – e é certo que o fará,” termina o responsável.

As 10 aplicações utilitárias envolvidas

O atacante fez uso de aplicações conhecidas e legítimas de código aberto. A lista é seguinte:

NomeNome do Package
Cake VPNcom.lazycoder.cakevpns
Pacific VPNcom.protectvpn.freeapp
eVPNcom.abcd.evpnfree
BeatPlayercom.crrl.beatplayers
BeatPlayercom.crrl.beatplayers
QR/Barcode Scanner MAXcom.bezrukd.qrcodebarcode
eVPNcom.abcd.evpnfree
Music Playercom.revosleap.samplemusicplayers
tooltipnatorlibrarycom.mistergrizzlys.docscanpro
QRecordercom.record.callvoicerecorder