Na sua mais recente investigação, a Check Point Research descobriu um programa malicioso presente em 9 aplicações da Play Store. Com o nome Clast82, o dropper contornou as medidas de proteção da plataforma da Google e, ao ser instalado, os hackers podem ativar a segunda fase do seu ataque, conseguindo aceder às contas bancárias das vítimas e exercer controlo sobre os seus telemóveis.

Os investigadores explicam que o Clast82 é usado para disseminar o AlienBot Banker, um malware-as-a-service que ataca aplicações financeiras e que consegue contornar o mecanismo de segurança dos códigos de autenticação dupla. O dropper está equipado com um trojan de acesso remoto (MRAT), o qual permite ao um atacante controlar o equipamento através do software TeamViewer.

Clique nas imagens para conhecer as apps maliciosas que deve apagar do seu smartphone ou tablet

Ao todo, o método de ataque envolve quatro fases diferentes. Na primeira, a vítima descarrega a aplicação contém o dropper Clast82 através da Play Store. De seguida, o Clast82 comunica com o servidor C&C para receber a configuração.

Check Point Research | Método de atuação dos cibercriminosos
créditos: Check Point Research

Na terceira fase, o dropper faz o download da carga maliciosa recebida pela configuração e o AlienBot Banker instala-a no dispositivo. Por fim, o hacker ganha controlo total do equipamento e acede às credenciais financeiras da vítima.

A 28 de janeiro de 2021, os investigadores reportaram as suas descobertas à Google. No dia 9 de fevereiro, a gigante tecnológica confirmou que todas as aplicações afetadas pelo Clast82 foram removidas da plataforma.

Como é que o Clast82 consegue se infiltrar na Play Store? Os investigadores indicam que o dropper pode, por exemplo, utilizar o FireBase detido pela Google como plataforma para comunicação C&C. Neste cenário, o atacante altera a configuração do comando e controlo “desativando” o comportamento malicioso do Clast82, e tornando-o indetetável no processo de avaliação de ameaças da tecnológica.

Os atacantes podem também usar o GitHub como plataforma terceira para fazer download da carga maliciosa. Aqui, o hacker cria um novo perfil de programador na Play Store em conjunto com o repositório da sua conta no GitHub. A técnica permitie distribuir diferentes cargas pelos dispositivos que foram infetados pelas aplicações maliciosas.

Em comunicado, Rui Duro, Country Manager da Check Point Portugal, afirma que “ohacker por detrás do Clast82 conseguiu contornar as proteções da Google Play através de uma metodologia criativa, mas muito preocupante”.

“As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai direto às suas contas financeiras”, detalha Rui Duro.

O responsável acrescenta que a capacidade de o dropper se manter indetetável “vem reforçar a importância de utilizar soluções de segurança móvel”. “Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação: e é certo que o fará”.