Investigadores encuentran un peligroso malware en 10 apps de la Play Store de Google

11 marzo, 2021
3 Compartido 1,083 Visualizaciones

Este nuevo dropper -un programa malicioso diseñado para introducir otro tipo de malware en el dispositivo de la víctima- está integrado en 10 apps de Google Play Store

 Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point® Software Technologies Ltd ha descubierto un nuevo dropper -un programa malicioso diseñado para introducir otro malware en el terminal de la víctima- que se está propagando en la Play Store de Google. Apodado «Clast82» por los investigadores, el dropper ejecuta un malware de segunda fase que proporciona al ciberdelincuente un acceso intrusivo a las cuentas bancarias de las víctimas, así como el control total de sus móviles. CPR encontró Clast82 dentro de 10 apps, que abarcaban funciones como la grabación de pantalla o la VPN. 

Clast82 introduce el malware-as-a-service AlienBot Banker, un malware de segunda fase que ataca a las aplicaciones bancarias eludiendo su factor de doble de autenticación. Además, Clast82 está compuesto por un troyano de acceso remoto móvil (MRAT) capaz de controlar el dispositivo con TeamViewer con lo que cibercriminal tiene acceso al como si lo tuviera en sus manos.

¿Cómo actúa el “Clast82”?

Los investigadores de Check Point han señalado el método de ataque que utiliza Clast82:

  1. La víctima descarga una app maliciosa desde Google Play, que contiene el dropper Clast82.
  2. Clast82 se comunica con el servidor de C&C para recibir la configuración.
  3. Clast82 descarga en el dispositivo Android un payload recibido por la configuración, y lo instala – en este caso, el AlienBot Banker.
  4. Los ciberdelincuentes acceden a las credenciales bancarias de la víctima y proceden a controlar el terminal por completo.

Clast82 utiliza una serie de técnicas para evitar ser detectado por Google Play Protect:

  • Firebase (propiedad de Google) como plataforma para la comunicación del C&C: durante el periodo de evaluación de Clast82 en Google Play, los ciberdelincuentes cambiaron la configuración a nivel de comando y control utilizando Firebase. A su vez, el cibercriminal «desactivó» el comportamiento malicioso de Clast82 durante el periodo de evaluación por parte de Google.
  • GitHub como plataforma de alojamiento de terceros para descargar el payload: para cada aplicación, el cibercriminal ha creado un nuevo usuario en la tienda de Google Play, junto con un repositorio en la cuenta de GitHub del cibercriminal, lo que le permite distribuir diferentes payloads a los dispositivos infectados por cada aplicación maliciosa.

Las 10 apps implicadas

Los ciberdelincuentes utilizaron aplicaciones Android legítimas y conocidas de código abierto:

Name Package_name
Cake VPN com.lazycoder.cakevpns
Pacific VPN com.protectvpn.freeapp
eVPN com.abcd.evpnfree
BeatPlayer com.crrl.beatplayers
BeatPlayer com.crrl.beatplayers
QR/Barcode Scanner MAX com.bezrukd.qrcodebarcode
eVPN com.abcd.evpnfree
Music Player com.revosleap.samplemusicplayers
tooltipnatorlibrary com.mistergrizzlys.docscanpro
QRecorder com.record.callvoicerecorder

Figura 1. Clast82 Malware en Google Play 

 El el 28 de enero de 2021 se informó a Google de los hallazgos y hoy,  9 de febrero de 2021, Google ha confirmadoque todas las aplicaciones de Clast82 fueron eliminadas de Google Play Store.

«El ciberdelincuente que está detrás de Clast82 ha sido capaz de saltarse las protecciones de Google Play utilizando una metodología creativa. Con una simple manipulación de recursos de terceros fácilmente accesibles -como una cuenta de GitHub o una cuenta de FireBase- aprovechó los recursos para eludir las protecciones de Google Play Store. Las víctimas pensaban que estaban descargando una aplicación inocua del mercado oficial de Android, pero lo que realmente recibían era un peligroso troyano que iba directamente a sus cuentas bancarias. La capacidad del dropper para pasar desapercibido demuestra la importancia de contar con una solución de seguridad móvil. No basta con escanear la aplicación durante el periodo de evaluación, ya que un ciberdelincuente puede, y lo hará, cambiar el comportamiento de la aplicación utilizando herramientas de terceros fácilmente disponibles», señala Aviran Hazum, director de investigación de amenazas móviles en Check Point.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

iRule, la app que da a los usuarios poder sobre sus datos y les ofrece promociones exclusivas
Actualidad
8 compartido1,785 visualizaciones
Actualidad
8 compartido1,785 visualizaciones

iRule, la app que da a los usuarios poder sobre sus datos y les ofrece promociones exclusivas

Vicente Ramírez - 18 julio, 2018

Utilizando iRule, cualquier persona puede decidir qué datos quiere dar a las empresas, y qué compañías pueden acceder a ellos.…

Mitek se alía con la asociación italiana Fintech District y refuerza su posición en el mercado europeo
Actualidad
7 compartido1,140 visualizaciones
Actualidad
7 compartido1,140 visualizaciones

Mitek se alía con la asociación italiana Fintech District y refuerza su posición en el mercado europeo

Redacción - 20 abril, 2021

La alianza fomenta la innovación para las empresas financieras emergentes Mitek se ha aliado con Fintech District, comunidad internacional de…

“Estamos en un punto de inflexión clarísimo en el cual están llegando muchos clientes nuevos interesados en la micro segmentación”
Actualidad
29 compartido3,205 visualizaciones
Actualidad
29 compartido3,205 visualizaciones

“Estamos en un punto de inflexión clarísimo en el cual están llegando muchos clientes nuevos interesados en la micro segmentación”

Vicente Ramírez - 25 octubre, 2019

"En lugar de hacer X redes grandes en las que meter los activos, se va  reduciendo el tamaño de las…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.