Clast82 è il malware Android che riesce a diffondersi sul Play Store. Google rimuove le applicazioni compromesse

Clast82 è il malware Android che riesce a diffondersi sul Play Store. Google rimuove le applicazioni compromesse

Il malware riesce a superare i processi di controllo del Play Store e scarica un payload dannoso che può installare un trojan bancario

di pubblicata il , alle 13:01 nel canale Sicurezza
Android
 

Check Point Research ha individuato un nuovo malware che è in grado di diffondersi tramite il Google Play Store ufficiale e ha lo scopo di recapitare payload dannosi sul telefono della vittima. Il malware, denominato Clast82, fa uso di una serie di tecniche per evitare di essere rilevato dal sistema Google Play Protect e riesce a superare correttamente il periodo di valutazione per poter essere pubblicato sul PlayStore.

Per riuscire ad aggirare le misure di valutazione e controllo del Play Store, Clast82 sfrutta la piattforma Firebase di Google come server command and control e si appoggia a GitHub come piattaforma terza per l'hosting dei payload dannosi.

Il meccanismo di funzionamento è piuttosto ingegnoso: durante il periodo di valutazione Clast82 riceve da Firebase una configurazione con un parametro specifico in base al valore del quale viene scaricato un payload innocuo o quello dannoso. Il parametro scatta nel momento in cui, passata con successo la fase di valutazione, Clast82 viene pubblicato su Google Play Store. In altri termini durante la fase di valutazione Clast82 scarica payload innocui, mentre una volta pubblicato scarica quello dannoso che consta del trojan bancario AlienBot Banker (che va a intercettare le credenziali di accesso a servizi finanziari) e dello strumento di persistenza e accesso remoto MRAT.

Anche l'infrastruttura usata per la distribuzione e il mantenimento della campagna è abbastanza complessa. La mano dietro questo malware ha creato, per ogni applicazione, un nuovo utente sviluppatore per il Google Play Store e insieme anche un repository GitHub, riuscendo in questo modo a distribuire diversi payload ai dispositivi compromessi da varie applicazioni. I vari account sviluppatore creati a bella posta per questa campagna fanno tutti capo allo stesso indirizzo e-mail. La diffusione di Clast82 è avvenuta infatti tramite applicazioni open source legittime, che sono state appositamente modificate dall'attaccante per contenere il malware.

Le app che Google ha rimosso dal Play Store sono:

  • Cake VPN
  • Pacific VPN
  • eVPN
  • BeatPlayer
  • QR/Barcode Scanner MAX
  • Music Player
  • QRecorder
  • tooltipnatorlibrary

I ricercatori di Check Point hanno segnalato le app a Google il 29 gennaio, il giorno successivo la scoperta di Clast82. Google ha confermato entro il 9 febbraio che il malware era stato rimosso dal Play Store. Le app sono state installate, nel complesso, circa 15 mila volte.

I migliori sconti su Amazon oggi
-5%

Amazfit Bip 5, 46 mm, Smartwatch, Schermo grande, chiamate Bluetooth, Alexa, GPS, durata della batteria di 10 giorni, fitness tracker con frequenza cardiaca, monitoraggio dell'ossigeno nel sangue

44.38 42.15 Compra ora
-5%

FRITZ!Repeater 600 Edition International, Ripetitore - Wi-Fi extender fino a 600 Mbit/s (2,4 GHz), Mesh, Access Point, Interfaccia in italiano

29.49 Compra ora
-21%

TCL 43T6C 43'' QLED TV 4K HDR, Fire TV (Smart tv con Dolby Vision e Atmos, HDR10+, Premi e Chiedi ad Alexa)

329.00 259.90 Compra ora
5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
sbaffo10 Marzo 2021, 17:05 #1
I vari account sviluppatore creati a bella posta per questa campagna fanno tutti capo allo stesso indirizzo e-mail.

mi sembra una ingenuità incredibile per uno sviluppatore così furbo, e poi il play store lo permette? non gli suona strano? credo che neanche su questo forum si possa avere un multi account con la stessa mail, ma sul play store sì?

il trucco del payload da scaricare dopo non mi pare nuovo. Il problema è che se permetti di scaricare cose dopo senza controllo é ovvio che possa capitare. O no?
supertigrotto10 Marzo 2021, 17:08 #2
Mi permetto di dire la mia.
Non era Windows phone quello brutto e puzzone perché non aveva uno store immenso con millemila app fra cui,ad esempio,1099 app torcia che ti richiedono tutti i permessi?
Era una delle critiche che venivano mosse a Microsoft, perché non aveva uno store pieno zeppo di applicazioni (fotocopia) come iOS e specialmente Android.
Prima di morire nel mondo mobile, Microsoft era la più severa di tutte per quanto riguardava permessi e dati utente, soprattutto,le poche app che aveva (che non erano poi così poche) erano ben controllate.
Ma siccome l'importanza di un os è avere le icone sbrilluccicose e darti l'illusione di essere open source (rootate o jailbreccate il dispositivo e la garanzia fa ciao ciao) ,adesso ci ritroviamo con problemi come questo.
Spero che chi si è beccato il trojan,abbia fatto in tempo a bloccare il conto corrente on line,mi dispiace per quei 15000 pori Cristi.
insane7410 Marzo 2021, 17:21 #3
Originariamente inviato da: sbaffo
mi sembra una ingenuità incredibile per uno sviluppatore così furbo, e poi il play store lo permette? non gli suona strano? credo che neanche su questo forum si possa avere un multi account con la stessa mail, ma sul play store sì?

il trucco del payload da scaricare dopo non mi pare nuovo. Il problema è che se permetti di scaricare cose dopo senza controllo é ovvio che possa capitare. O no?


il problema però dovrebbe essere: perché un'app che fa un payload può poi causare quel tipo di danni?
l'app originale chiedeva mille mila permessi non giustificati dall'app stessa (esempio scemo: un'app torcia non dovrebbe chiedere l'accesso ai contatti o alla posizione)? Google controlla questo aspetto? se non lo fa -> grave.
se lo fa -> o è sfuggito qualcosa, oppure una volta scaricato il payload l'app è in grado di sfruttare falle o altro per fare le sue porcate.
e qui dovrebbe essere l'OS da patchare (se ci sono bug sfruttati da questi payload) o qualcosa da rivedere sui permessi, perché non vedo come un'app "torcia" dovrebbe poter accedere ai dati dell'app della banca bypassando l'autenticazione a 2 fattori ecc ecc...
sbaffo10 Marzo 2021, 18:45 #4
Originariamente inviato da: insane74
il problema però dovrebbe essere: perché un'app che fa un payload può poi causare quel tipo di danni?
l'app originale chiedeva mille mila permessi non giustificati dall'app stessa (esempio scemo: un'app torcia non dovrebbe chiedere l'accesso ai contatti o alla posizione)? Google controlla questo aspetto? se non lo fa -> grave.
se lo fa -> o è sfuggito qualcosa, oppure una volta scaricato il payload l'app è in grado di sfruttare falle o altro per fare le sue porcate.
e qui dovrebbe essere l'OS da patchare (se ci sono bug sfruttati da questi payload) o qualcosa da rivedere sui permessi, perché non vedo come un'app "torcia" dovrebbe poter accedere ai dati dell'app della banca bypassando l'autenticazione a 2 fattori ecc ecc...

si, ma non erano app torcia ma VPN, e quelle di permessi ne hanno. Poi chiaro che ci sarà sempre una qualche falla da sfruttare una volta che sei entrato.
Se scarichi un modelleignude.exe e lo lanci su windows stai sicuro che ti fa un bel casino. idem con gli .apk.
insane7410 Marzo 2021, 19:32 #5
Originariamente inviato da: sbaffo
si, ma non erano app torcia ma VPN, e quelle di permessi ne hanno. Poi chiaro che ci sarà sempre una qualche falla da sfruttare una volta che sei entrato.
Se scarichi un modelleignude.exe e lo lanci su windows stai sicuro che ti fa un bel casino. idem con gli .apk.




Si ma modelleignude.exe non lo scarichi dallo store ufficiale!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^