A Check Point Research descobriu um novo programa de exclusão, que é um programa malicioso projetado para introduzir outro software malicioso em dispositivos móveis e se espalhar na Google Play Store.
Os pesquisadores da empresa o chamaram de “Clast82”, que rompeu com a proteção da loja oficial e executou a segunda fase do malware que permitia que os cibercriminosos invadissem a conta bancária da vítima e controlassem totalmente sua inteligência no celular.
O CPR encontrou o Clast82 entre dez aplicativos utilitários que cobrem funções como gravação de tela ou VPN.
O Clast82 introduziu o malware-as-a-service (MaaS) AlienBot Banker, por meio do qual pode contornar seu fator de autenticação de dois fatores para executar ataques em aplicativos bancários.
Além disso, o Clast82 consiste em um Trojan de acesso remoto móvel (MRAT) que pode usar o TeamViewer para controlar o dispositivo para que os cibercriminosos pudessem acessar o dispositivo móvel.
Os pesquisadores da Check Point apontaram o método de ataque usado pelo Clast82:
• A vítima baixava um aplicativo malicioso da Google Play Store que contém o programa malicioso Clast82.
• O Clast82 se comunicava com o servidor C&C para receber a configuração.
• O Clast82 baixava uma carga recebida pela configuração para o dispositivo Android e a instalava – neste caso, o malware AlienBot Banker era instalado.
• Os cibercriminosos acessavam as credenciais bancárias da vítima e procediam de modo a ter o controle total do dispositivo móvel.
Firebase (de propriedade do Google) como uma plataforma de comunicação C&C: durante o teste Clast82 no Google Play, os cibercriminosos usaram o Firebase para alterar as configurações no nível de comando e controle.
Por sua vez, os cibercriminosos “desativaram” o comportamento malicioso do Clast82 durante o período de teste do Google.
GitHub como uma plataforma de hospedagem de terceiros para baixar o payload: um cibercriminoso criou um novo usuário na Google Play Store e configurou um repositório em sua conta do GitHub, permitindo que o invasor atribua diferentes cargas efetivas a cada dispositivo para o qual a carga é distribuída o aplicativo malicioso no dispositivo infectado.
Apps removidos do Google Play
Em 28 de janeiro de 2021, o Google recebeu uma notificação dessas descobertas; em 9 de fevereiro deste ano, o Google confirmou que havia excluído todos os aplicativos Clast82 da Google Play Store.
✨ Curtiu este conteúdo?
O GDiscovery está aqui todos os dias trazendo informações confiáveis e independentes sobre o universo Google - e isso só é possível com o apoio de pessoas como você. 🙌
Com apenas R$ 5 por mês, você ajuda a manter este trabalho no ar e leva informação de qualidade para ainda mais gente!
