Logo Tom's Hardware

Avete scaricato queste 9 app dal Google Play Store? Attenzione, contengono un malware!

9 app Android legittime e open source sono state utilizzate da un hacker per impossessarsi dei conti finanziari di alcuni malcapitati utenti. Ecco tutti i dettagli.

Avatar di Luca Carbonaro

a cura di Luca Carbonaro

Check Point Research
ha scoperto un nuovo dropper, programma ideato per diffondere malware al telefono di un malcapitato, all'interno di 9 app di utility su Google Play Store. Soprannominato "Clast82"
, il dropper ha bypassato le protezioni dello store, attivando un malware che ha permesso a un hacker di accedere ai conti finanziari delle vittime e prendere il controllo dei loro smartphone.

Si tratta di un malware di secondo stadio, chiamato AlienBot Banker, che prende di mira le app finanziarie bypassando i codici di autenticazione a due fattori per tali servizi. Allo stesso tempo, Clast82 è dotato di un trojan di accesso remoto mobile (MRAT) in grado di controllare il dispositivo con TeamViewer, rendendo l'hacker il vero possessore a insaputa della vittima.

malware-103063.jpg

Le 9 app utilizzate dall'hacker, legittime e open-source, sono le seguenti: Cake VPN, Pacific VPN, eVPN, QR/Barcode Scanner MAX, eVPN, Music Player, Tooltipnatorlibrary e QRecorder. Le scoperte sono state prontamente comunicate da Check Point Research a Google il 28 gennaio e il colosso di Mountain View le ha rimosse dal Play Store nella giornata del 9 febbraio.

Clast82 ha utilizzato una serie di tecniche per eludere il rilevamento di Google Play Protect. Nello specifico, l'hacker ha cambiato la configurazione di comandi e controlli utilizzando Firebase, e ha poi “disabilitato” il comportamento dannoso di Clast82 durante l’analisi da parte di Google.

L'hacker si è inoltre avvalso di GitHub come piattaforma di hosting di terze parti da cui scaricare il payload. Per ogni app, l'aggressore ha creato un nuovo utente sviluppatore per Google Play Store, insieme a un repository sull'account GitHub dell'attore, permettendo così di distribuire diversi payload ai dispositivi che sono stati infettati da ogni app dannosa.

google-play-store-copertina-12055.jpg

Aviran Hazum, Manager of Mobile Research di Check Point, ha così dichiarato: "Le vittime pensavano di scaricare un'innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari. La capacità del dropper di rimanere inosservato dimostra l'importanza del perché è necessaria una soluzione di sicurezza mobile. Non è sufficiente eseguire la scansione dell'app durante l’analisi, in quanto un attore malintenzionato può, e lo farà, cambiare il comportamento dell'app utilizzando strumenti di terze parti.”

Siete alla ricerca di uno smartphone elegante, performante e dotato di un'ottima fotocamera? Huawei P30 Pro New Edition è il modello che fa al caso vostro. Lo trovate a un prezzo accessibile, qui.
Leggi altri articoli