Gaming Club
Regístrate
españaESPAÑAméxicoMÉXICOusaUSA
Betech
Ciencia y tecnología

APPS

10 apps Android que debes borrar: están infectadas por el malware bancario Clast82

Check Point Research descubre un nuevo ‘dropper’ que infectaba hasta 10 aplicaciones de la Google Play Store.

Cesar Otero
10 apps Android que debes borrar: están infectadas por el malware bancario Clast82

Un dropper es un tipo de virus troyano que ha sido diseñado para instalar algún tipo de malware -ransomware, adware, etc- en un sistema o dispositivo elegido. El código del malware puede estar contenido dentro del dropper (de una sola etapa) de tal manera que se evite su detección por parte de los escáneres de virus o el dropper puede descargar el malware a la máquina objetivo una vez activado (dos etapas).

Clast82

Check Point Research (CPR) ha descubierto recientemente un nuevo dropper que se propaga a través de la tienda Google Play. El dropper, apodado Clast82, tiene la capacidad de evitar la detección por parte de Google Play Protect, completar el periodo de evaluación con éxito y cambiar la carga útil lanzada de una carga útil no maliciosa a AlienBot Banker y MRAT.

La familia de malware AlienBot es un malware como servicio (MaaS) para dispositivos Android que permite a un atacante remoto inyectar código malicioso en aplicaciones financieras legítimas que el móvil tenga instaladas.

El atacante obtiene acceso a las cuentas de las víctimas y, finalmente, controla por completo su dispositivo. Al tomar el control de un dispositivo, el atacante tiene la capacidad de controlar ciertas funciones, como si estuviera sosteniendo el dispositivo físicamente, como instalar una nueva aplicación en el dispositivo, o incluso controlarlo con TeamViewer.

Pasar la evaluación de Google Play

Durante el periodo de evaluación de Clast82 en Google Play, la configuración enviada desde el C&C de Firebase contiene un parámetro de activación. En función del valor del parámetro, el malware 'decide' activar o no el comportamiento malicioso. Este parámetro está configurado en 'falso, y cambia a 'verdadero' después de que Google haya publicado el malware Clast82 en Google Play. Así es su Modus Operandi:

  1. El criminal sube el malware Clast82 a Google Play Store
  2. Google Play Evaluación contacta con el C&C (infraestructura mando y control, Command and control en inglés) de FireBase, la plataforma de Google para crear apps para móviles y páginas web.
  3. FireBase le da a la app de Clast82 una ‘Luz Roja’, la app desactiva su comportamiento malicioso para pasar el proceso
  4. Google aprueba la app Clast82, que se pone a disposición de los usuarios de la Play Store
  5. La víctima descarga e instala la app, que contacta con el C&C de FireBase para recibir ‘Luz Verde’
  6. El dispositivo con la app infectada contacta con GitHub para descargar e instalar el malware de Malicious.

10 apps que borrar

Para los expertos de Check Point, no basta con escanear la aplicación durante el periodo de evaluación, ya que un actor malicioso puede, y lo hará, cambiar el comportamiento de la aplicación utilizando herramientas de terceros. Como la carga útil lanzada por Clast82 no se origina en Google Play, el escaneo de las aplicaciones antes de someterlas a revisión no impediría realmente la instalación de la carga útil maliciosa.

Por ello, “una solución que monitorice el propio dispositivo, escaneando constantemente las conexiones de red y los comportamientos por aplicación" sería capaz de detectar dicho comportamiento”. Después de que Check Point Research informara de sus hallazgos al equipo de seguridad de Android, Google confirmó que todas las aplicaciones de Clast82 fueron eliminadas de Google Play Store. Pero si tienes alguna de estas instaladas, bórralas en el acto:

  • Cake VPN
  • Pacific VPN
  • eVPN
  • BeatPlayer
  • BeatPlayer
  • QR/Barcode Scanner MAX
  • eVPN
  • Music Player
  • tooltipnatorlibrary
  • Qrecorder