Attenzione al malware Clast82 trovato in 9 app del Play Store di Google

Secondo un recente report della società di sicurezza informatica Check Point Software Technologies, sul Play Store di Google avrebbe trovato diffusione un nuovo pericolosissimo Malware: il dropper Clast82. Bypassando le maglie della sicurezza dello store di Android il virus sarebbe riuscito ad ottenere il controllo degli smartphone degli utenti colpiti.

Un nuovo malware avrebbe trovato rapida diffusione, nei mesi passati, riuscendo a oltrepassare le misure di protezione offerte dallo store del robottino  verde (Google Play Protect) attraverso una serie di tecniche elusive.

È stato chiamato Clast82 e rientra nella categoria dei cosiddetti dropper; malware che si occupano di scaricare e installare un “payload”, ossia il vero cuore pulsante delle attività fraudolente del virus informatico.

In questo particolare caso l’azione di Clast82 è volta a rilasciare il malware-as-a-service AlienBot Banker. Quest’ultimo si occuperebbe, in seconda battuta, di monitorare le app di servizi finanziari; superando l’autenticazione a due fattori per l’accesso ad essi e arrivando ad averne pieno controllo.

Il virus – come riporta la ricerca effettuata da Check Point Research – sarebbe anche dotato di funzionalità di controllo di accesso remoto, tramite il famoso software Teamviewer, per dar modo al malintenzionato di disporre del dispositivo della vittima in tutte le sue funzioni.

Metodi di diffusione e dinamiche del malware Clast82.

Per la diffusione di Clast82 sarebbero state utilizzate come vettori 9 applicazioni open-source – legittime –  dello store di Google. La lista includerebbe: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, eVPN, Music Player, tooltipnatorlibrary e QRecorder.

Ma come funziona esattamente il virus? Scaricando dallo store di Google una delle nove app, viene installato contestualmente Clast82.

Una volta attivo, il malware si collega al server C&C di Firebase (piattaforma di proprietà di Google usata per la comunicazione di comandi e controlli) per recuperare la configurazione, “disabilitata” in un primo momento per eludere i controlli e le analisi da parte di Google stessa.

LEGGI ANCHE >>> Vaccino Covid, ecco il modulo che aiuta a capire quando riceveremo il farmaco

Eseguito questo passaggio, il gioco è fatto. Dopo aver ripristinato l’originario “comportamento” dannoso, Clast82 passerà all’installazione del payload AlienBot Banker. Prelevandolo dalla nota piattaforma servizio di hosting per progetti software GitHub, al fine monitorare la attività delle app finanziarie del malcapitato utente.

Come sottolinea Aviran Hazum, Manager di Check Point, questo caso, oltre a dimostrare come sia possibile aggirare i controlli di scansione online – tramite la manipolazione di piattaforme terze (Firebase e GitHub) – pone l’attenzione sull’importanza di avere una soluzione di sicurezza mobile. In particolar modo se si pensa alla facilità con cui il dropper giunge sullo smartphone dell’utente tramite applicazioni legittime, per poi accedere ad informazioni riservate come gli accessi bancari.

POTREBBE INTERESSARTI >>> Apple, qualche indizio per individuare il nuovo malware Silver Sparrow

Su segnalazione di Check Point Research, Google ha rimosso dallo store tutte le applicazioni coinvolte nella diffusione di Clast82 lo scorso 9 febbraio.