Google

Su Google Play Store un trojan che puntava ai conti finanziari delle vittime

A identificare il dropper Clast82 sono stati i ricercatori della Check Point Software Technologies, che hanno prontamente segnalato la scoperta a Google (che ha rimosso 9 app)

Redazione 09 marzo 2021 14:53

Si chiama dropper ed è un programma ideato per diffondere malware al telefono di una vittima. A trovarlo all'interno di 9 app di utility su Google Play Store sono stati i ricercatori della Check Point Software Technologies, che lo hanno soprannominato "Clast82". L'azienda, non nuova ad individuare le falle dei grossi colossi del web, ha spiegato che il dropper avrebbe bypassato le protezioni dello store per attivare un secondo malware che ha dato l'accesso all'hacker ai conti finanziari delle vittime, così come il controllo dei loro smartphone.

Come agisce il malware

Il dropper rilascia il "malware-as-a-service" AlienBot Banker, un malware di secondo stadio che prende di mira le app finanziarie bypassando i codici di autenticazione a due fattori per tali servizi. Allo stesso tempo, Clast82 è dotato di un trojan di accesso remoto mobile (MRAT), rendendo l'hacker il vero possessore a insaputa della vittima. Il metodo di "attacco" di Clast82, così come spiegato dai ricercatori, è il seguente:

La vittima scarica un'app di utility dannosa da Google Play, contenente il dropper Clast82
Clast82 comunica con il server C&C per ricevere la configurazione
Clast82 scarica il payload ricevuto dalla configurazione e lo installa sul dispositivo Android - in questo caso, l'AlienBot Banker
L'hacker ottiene l'accesso alle credenziali finanziarie della vittima e procede a controllare per intero lo smartphone della vittima

Le app coinvolte

L'hacker, sempre stando a quanto comunicato dai ricercatori, ha utilizzato app Android legittime e conosciute open-source. Ecco l’elenco: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, eVPN, Music Player, tooltipnatorlibrary, QRecorder.

I ricercatori hanno quindi comunicato la scoperta a Google il 28 gennaio 2021. Lo scorso 9 febbraio, Google ha confermato che tutte le app Clast82 sono state rimosse dal Google Play Store.

«L'hacker dietro Clast82 è stato in grado di aggirare le protezioni di Google Play utilizzando una metodologia creativa, ma preoccupante - spiegano i ricercatori - Con una semplice manipolazione di risorse di terze parti facilmente reperibilii - come un account GitHub, l'hacker è stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store. Le vittime pensavano di scaricare un'innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari».