Un sistema operativo tanto aperto come Android è sicuramente teatro di infinite opportunità per fare qualsiasi cosa attraverso delle applicazioni. A volte però, tra queste opportunità capita che si insidino pericoli tipo i malware, come nel caso del dropper Clast82, contenuto in alcune appAndroid del Google Play Store ed in questo articolo vi spieghiamo quali evitare.
Google Play Store: ecco quali app Android evitare per non incontrare il malware Clast82
Prima di procedere con l’elenco di applicazioni dannose, spieghiamo per il dropper Clast82 è da evitare in tutti i modi. Stando a quanto raccolto da Check Point Research, esso è un programma ideato per diffondere malware al telefono di un malcapitato utente attraverso alcune app di utility del Google Play Store in cui si insedia. Esso è entrato a contatto con quelle app perché ha bypassato le protezioni dello store al fine di far arrivare un secondo malware che ha dato l’accesso all’hacker verso i conti finanziari degli utenti che ne sono venuti a contatto, oltre al controllo dello smartphone stesso.
Ma come agisce? Clast82 si attiva una volta scaricata l’app di utility infettata, comunicando quindi con il server C&C per ricevere la configurazione. Una volta fatto, scarica il payload ricevuto dalla stessa configurazione e lo installa sul dispositivo Android (in questo caso, l’AlienBot Banker). Infine, ottiene l’accesso alle credenziali finanziarie della vittima e procede a controllare per intero il suo dispositivo. Cast82 utilizza come serve C&C Firebase (di Google) e GitHub per scaricare il payload.
App contenenti Clast82
Di seguito vi riportiamo le applicazioni utilizzate dall’hacker per insediare Clast82. C’è da dire che quest app erano tutte legittime e conosciute.
- Cake VPN
- Pacific VPN
- eVPN
- BeatPlayer
- QR/Barcode Scanner MAX
- eVPN (com.abcd.evpnfree)
- Music Player
Ecco le parole di Aviran Hazum, Mobile Research Manager di Check Point: “L’hacker dietro Clast82 è stato in grado di aggirare le protezioni di Google Play utilizzando una metodologia creativa, ma preoccupante. Con una semplice manipolazione di risorse di terze parti facilmente reperibilii – come un account GitHub, o un account FireBase – l’hacker è stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store. Le vittime pensavano di scaricare un’innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari. La capacità del dropper di rimanere inosservato dimostra l’importanza del perché è necessaria una soluzione di sicurezza mobile. Non è sufficiente eseguire la scansione dell’app durante l’analisi, in quanto un attore malintenzionato può, e lo farà, cambiare il comportamento dell’app utilizzando strumenti di terze parti”.