Check Point Research ha scoperto un nuovo dropper che si diffonde tramite 9 app Android sul Google Play Store e che consente di ottenere l’accesso ai conti finanziari delle vittime e di assumere il pieno controllo del proprio telefono cellulare.
Soprannominato Clast82, questo malware mostra una serie di capacità: elude il rilevamento da parte di Google Play Protect, completa correttamente il periodo di valutazione e modifica il payload rilasciato da un payload non dannoso ad AlienBot Banker e MRAT.
La famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che consente a un attaccante di iniettare codice dannoso in applicazioni finanziarie legittime. Una volta ottenuto l’accesso agli account, l’aggressore controlla completamente il dispositivo delle vittime proprio come se tenesse fisicamente il dispositivo.
La capacità del malware di non essere rilevato dimostra l’importanza del motivo per cui è necessaria una soluzione di sicurezza mobile. Risulta infatti insufficiente scansionare l’app durante il periodo di valutazione, poiché un malintenzionato può e cambierà il comportamento dell’applicazione utilizzando strumenti di terze parti. Poiché il payload rilasciato da Clast82 non proviene da Google Play, la scansione delle applicazioni prima dell’invio alla revisione non impedirebbe l’installazione del payload dannoso. Una soluzione che monitora il dispositivo stesso, scansionando costantemente le connessioni di rete e i comportamenti per applicazione, sarebbe in grado di rilevare tale comportamento.
Dopo che Check Point Research ha riferito i suoi risultati al team di sicurezza di Android, Google ha confermato che tutte le app Clast82 sono state rimosse dal Play Store di Google.