Clast82

Una nuova minacciosa campagna che ha come obiettivi gli utenti Android è stata scoperta dai ricercatori di infosec. L'operazione prevede la distribuzione di payload malware attraverso nove minacciose applicazioni che sono state in grado di aggirare le misure di sicurezza del Google Play Store. Per ottenere ciò, gli autori delle minacce hanno utilizzato un nuovissimo contagocce di malware denominato Clast82.

Secondo i risultati degli analisti della sicurezza, Clast82 è stato iniettato in applicazioni open source legittime note. Un totale di nove di queste applicazioni sono state in grado di penetrare nel negozio mobile di Google: BeatPlayer, Cake VPN, eVPN (due versioni diverse), Music Player, Pacific VPN, QR / Barcode Scanner MAX, QRecorder e tooltipnattorlibrary. Ogni applicazione armata aveva il proprio repository di codice su GitHub, così come un nuovo utente sviluppatore per il Google Play Store. Le prove suggeriscono che dietro l'operazione c'è un singolo attore della minaccia: tutti gli account degli sviluppatori falsi utilizzavano lo stesso indirizzo e-mail mentre la pagina delle norme non solo era identica per ciascuna applicazione, ma puntava anche allo stesso repository GitHub.

Catena d'attacco Clast82

Il contagocce Clast82 ha svolto un ruolo essenziale nella campagna di attacco. La minaccia malware determina se attivare il suo comportamento minaccioso in base a un parametro specifico ricevuto durante il periodo di valutazione per Google Play Store. Questo parametro è impostato su "false" per impostazione predefinita e diventerà "true" solo dopo che l'applicazione che trasporta Clast82 è stata pubblicata nello store.

Una volta che gli utenti hanno scaricato una delle applicazioni minacciose, Clast82 attiverà un servizio responsabile del recupero del payload della fase successiva. Il contagocce aggira il requisito di Android di mostrare una notifica in corso per la sua azione visualizzando quella che viene chiamata una notifica "neutra". Ad esempio, all'utente verrà presentato un messaggio che indica semplicemente "GooglePlayServices" senza ulteriori dettagli. Se il dispositivo compromesso è impostato per bloccare qualsiasi installazione di applicazioni da fonti sconosciute, Clast82 inizierà a infastidire l'utente con richieste false progettate per apparire come se provenissero da Google Play Services. I prompt intrusivi verranno generati ogni cinque secondi.

Sulla maggior parte dei dispositivi infetti, Clast82 ha distribuito un malware infostealer chiamato AlienBot. Questa particolare minaccia è disponibile per l'acquisto come malware-as-a-service (MaaS) e consente agli aggressori di iniettare codice in applicazioni bancarie legittime. L'obiettivo è raccogliere informazioni di pagamento come credenziali bancarie o dettagli della carta di credito / debito. In un paio di casi, tuttavia, l'attacco ai dispositivi compromessi è stato intensificato rilasciando MRAT , uno strumento malware per la raccolta di dati che è stato rilevato per la prima volta nel 2014 quando è stato utilizzato contro i manifestanti di Hong Kong.

Dopo essere stato informato della campagna di attacco, Google ha rimosso tutte le applicazioni false di Clast82 disponibili sul Play Store.