10 apps Android que debes borrar: están infectadas por el malware bancario Clast82
Check Point Research descubre un nuevo ‘dropper’ que infectaba hasta 10 aplicaciones de la Google Play Store.
Un dropper es un tipo de virus troyano que ha sido diseñado para instalar algún tipo de malware -ransomware, adware, etc- en un sistema o dispositivo elegido. El código del malware puede estar contenido dentro del dropper (de una sola etapa) de tal manera que se evite su detección por parte de los escáneres de virus o el dropper puede descargar el malware a la máquina objetivo una vez activado (dos etapas).
Clast82
Check Point Research (CPR) ha descubierto recientemente un nuevo dropper que se propaga a través de la tienda Google Play. El dropper, apodado Clast82, tiene la capacidad de evitar la detección por parte de Google Play Protect, completar el periodo de evaluación con éxito y cambiar la carga útil lanzada de una carga útil no maliciosa a AlienBot Banker y MRAT.
La familia de malware AlienBot es un malware como servicio (MaaS) para dispositivos Android que permite a un atacante remoto inyectar código malicioso en aplicaciones financieras legítimas que el móvil tenga instaladas.
El atacante obtiene acceso a las cuentas de las víctimas y, finalmente, controla por completo su dispositivo. Al tomar el control de un dispositivo, el atacante tiene la capacidad de controlar ciertas funciones, como si estuviera sosteniendo el dispositivo físicamente, como instalar una nueva aplicación en el dispositivo, o incluso controlarlo con TeamViewer.
Pasar la evaluación de Google Play
Durante el periodo de evaluación de Clast82 en Google Play, la configuración enviada desde el C&C de Firebase contiene un parámetro de activación. En función del valor del parámetro, el malware 'decide' activar o no el comportamiento malicioso. Este parámetro está configurado en 'falso, y cambia a 'verdadero' después de que Google haya publicado el malware Clast82 en Google Play. Así es su Modus Operandi:
10 apps que borrar
Para los expertos de Check Point, no basta con escanear la aplicación durante el periodo de evaluación, ya que un actor malicioso puede, y lo hará, cambiar el comportamiento de la aplicación utilizando herramientas de terceros. Como la carga útil lanzada por Clast82 no se origina en Google Play, el escaneo de las aplicaciones antes de someterlas a revisión no impediría realmente la instalación de la carga útil maliciosa.
Por ello, “una solución que monitorice el propio dispositivo, escaneando constantemente las conexiones de red y los comportamientos por aplicación" sería capaz de detectar dicho comportamiento”. Después de que Check Point Research informara de sus hallazgos al equipo de seguridad de Android, Google confirmó que todas las aplicaciones de Clast82 fueron eliminadas de Google Play Store. Pero si tienes alguna de estas instaladas, bórralas en el acto: