Monitor Más Monitor
Encuentran un peligroso malware en 10 apps de Play Store d
Publicación:29-03-2021
TEMA: #Software
Descubrieron un programa malicioso diseñado para introducir otro malware en el terminal de la víctima- que se está propagando en la Play Store de Google.
Investigadores de Check Point Research, la División de Inteligencia de Amenazas de Check Point Software Technologies Ltd., proveedor líder especializado en ciberseguridad a nivel mundial, ha descubierto un nuevo dropper -un programa malicioso diseñado para introducir otro malware en el terminal de la víctima- que se está propagando en la Play Store de Google. Apodado “Clast82” por los investigadores, el dropper ejecuta un malware de segunda fase que proporciona al ciberdelincuente un acceso intrusivo a las cuentas bancarias de las víctimas, así como el control total de sus móviles. CPR encontró Clast82 dentro de 10 apps, que abarcaban funciones como la grabación de pantalla o la VPN.
Clast82 introduce el malware-as-a-service AlienBot Banker, un malware de segunda fase que ataca a las aplicaciones bancarias eludiendo su factor de doble de autenticación. Además, Clast82 está compuesto por un troyano de acceso remoto móvil (MRAT) capaz de controlar el dispositivo con TeamViewer con lo que cibercriminal tiene acceso al como si lo tuviera en sus manos.
¿Cómo actúa el “Clast82”?
Los investigadores de Check Point han señalado el método de ataque que utiliza Clast82:
La víctima descarga una app maliciosa desde Google Play, que contiene el dropper Clast82.
Clast82 se comunica con el servidor de C&C para recibir la configuración.
Clast82 descarga en el dispositivo Android un payload recibido por la configuración, y lo instala – en este caso, el AlienBot Banker.
Los ciberdelincuentes acceden a las credenciales bancarias de la víctima y proceden a controlar el terminal por completo.
Clast82 utiliza una serie de
técnicas para evitar ser detectado por Google Play Protect:
Firebase (propiedad de Google) como plataforma para la comunicación del C&C: durante el periodo de evaluación de Clast82 en Google Play, los ciberdelincuentes cambiaron la configuración a nivel de comando y control utilizando Firebase. A su vez, el cibercriminal “desactivó” el comportamiento malicioso de Clast82 durante el periodo de evaluación por parte de Google.
GitHub como plataforma de alojamiento de terceros para descargar el payload: para cada aplicación, el cibercriminal ha creado un nuevo usuario en la tienda de Google Play, junto con un repositorio en la cuenta de GitHub del cibercriminal, lo que le permite distribuir diferentes payloads a los dispositivos infectados por cada aplicación maliciosa.
En este sentido, Check Point cuenta con un amplio abanico de soluciones de seguridad para ayudar a proteger la información sensible almacenada en dispositivos móviles. Check Point, por su parte, cuenta con Check Point Harmony, la primera solución unificada que permite la conectividad segura a cualquier recurso en cualquier lugar con una protección total de endpoint en todos los dispositivos.
« Especial »
