La nueva investigación de la firma de ciberseguridad Check Point Research (CPR), un lanzador de malware se ha extendido a través de nueve aplicaciones maliciosas en la tienda oficial de Google Play.
Sin embargo, el analista pronunció toda la información sobre el cuentagotas, fue bautizado como Clast82, y utiliza principalmente un conjunto de métodos para que pueda evadir todo tipo de detección por detección de Google Play Protect.
El cuentagotas inicialmente completa la etapa de evaluación afortunadamente y luego cambia de una carga útil no maliciosa a AlienBot Banker y MRAT.
La familia de malware AlienBot es un Malware-as-a-Service (MaaS) para dispositivos Android, este malware generalmente permite a un actor de amenazas remoto inyectar código malicioso en aplicaciones financieras autorizadas.
Hallazgos y cronología
El actor de la amenaza obtiene acceso a las cuentas de las víctimas y, en última instancia, restringe su dispositivo. Después de tomar el control total del dispositivo, el actor de la amenaza adquiere la capacidad de controlar ciertas funciones.
Mientras que la línea de tiempo que ha sido declarada por los investigadores de ciberseguridad se da a continuación: –
- 27 de enero: primer descubrimiento
- 28 de enero: informe a Google
- 9 de febrero: Google autenticó que todas las aplicaciones de Clast82 fueron eliminadas de Google Play Store.
Aplicaciones afectadas
Las aplicaciones de Android que se ven afectadas se contabilizaron para aproximadamente 15000 instalaciones, y aquí está la lista de aplicaciones afectadas que se mencionan a continuación:
- BeatPlayer
- Pastel VPN
- Dos versiones de eVPN
- Escáner de códigos de barras / QR MAX
- Reproductor de música
- VPN del Pacífico
- QRecorder
- tooltipnattorlibrary
Pasando por alto la detección
En este período de evaluación, los investigadores encontraron que la configuración enviada desde Firebase C&C incluye un parámetro «habilitar». Sin embargo, este parámetro no era cierto y solo se convertirá en «verdadero» cuando Google anuncie el malware Clast82 en Google Play.
Este malware tiene una capacidad especial para ocultarse muy bien, ya que la carga útil abandonada por Clast82 no comienza desde Google Play. Es por eso que el escaneo de aplicaciones antes de aprobar la revisión no detendría realmente la instalación de la carga útil mal dispuesta.
Recomendación de expertos
Los expertos en ciberseguridad han afirmado algunos consejos para proteger a los usuarios, Harmony Mobile ofrece una protección completa para la fuerza de trabajo móvil mediante la implementación de una amplia gama de capacidades que son fáciles de implementar, administrar y escalar.
Este Harmony Mobile brinda una protección clara para todos los vectores móviles, y también incluye la descarga de aplicaciones maliciosas junto con el malware incrustado en ellas.
Aparte de esto, los analistas informaron sobre las aplicaciones maliciosas a Google el 29 de enero, un día después de su detección. Y el 9 de febrero, Google había reforzado que el malware había sido excluido de Play Store.