Clast82

Uma nova campanha ameaçadora tendo os usuários do Android como alvos foi descoberta por pesquisadores da Infosec. A operação envolve a distribuição de cargas de malware por meio de nove aplicativos ameaçadores que foram capazes de contornar as medidas de segurança da Google Play Store. Para conseguir isso, os atores da ameaça empregaram um novo dropper de malware chamado Clast82.

De acordo com as descobertas dos analistas de segurança, o Clast82 foi injetado em aplicativos de código aberto legítimos conhecidos. Um total de nove desses aplicativos foram capazes de penetrar na loja móvel do Google - BeatPlayer, Cake VPN, eVPN (duas versões diferentes), Music Player, Pacific VPN, QR/Barcode Scanner MAX, QRecorder e tooltipnattorlibrary. Cada aplicativo armado tinha seu próprio repositório de código no GitHub, bem como um novo usuário desenvolvedor para a Google Play Store. As evidências sugerem que um único ator de ameaça está por trás da operação - todas as contas falsas de desenvolvedor usaram o mesmo endereço de e-mail, enquanto a página Política não era apenas idêntica para cada aplicativo, mas também apontava para o mesmo repositório GitHub.

A Cadeia de Ataque do Clast82

O dropper Clast82 desempenhou um papel essencial na campanha de ataque. A ameaça de malware determina se deve desencadear seu comportamento ameaçador com base em um parâmetro específico recebido durante o período de avaliação da Google Play Store. Este parâmetro é definido como 'falso' por padrão e só mudará para 'verdadeiro' depois que o aplicativo que contém o Clast82 for publicado na loja.

Depois que os usuários fizerem o download de um dos aplicativos ameaçadores, o Clast82 ativará um serviço responsável por buscar a carga útil do próximo estágio. O dropper ignora o requisito do Android de mostrar uma notificação contínua para sua ação, exibindo o que é chamado de notificação 'neutra'. Por exemplo, o usuário verá uma mensagem que simplesmente afirma 'GooglePlayServices' sem quaisquer detalhes adicionais. Se o dispositivo comprometido for configurado para bloquear qualquer instalação de aplicativo de fontes desconhecidas, o Clast82 começará a incomodar o usuário com solicitações falsas destinadas a parecer que vêm do Google Play Services. Os prompts intrusivos serão gerados a cada cinco segundos.

Na maioria dos dispositivos infectados, o Clast82 implantou um malware infostealer chamado AlienBot. Essa ameaça específica está disponível para compra como um Malware-as-a-Service (MaaS) e permite que os invasores injetem código em aplicativos bancários legítimos. O objetivo é coletar informações de pagamento, como credenciais bancárias ou detalhes de cartão de crédito/débito. Em alguns casos, no entanto, o ataque aos dispositivos comprometidos foi escalado com a eliminação do MRAT , uma ferramenta de malware de coleta de dados que foi detectada pela primeira vez em 2014, quando foi usada contra manifestantes de Hong Kong.

Depois de ser notificado sobre a campanha de ataque, o Google retirou todos os aplicativos falsos Clast82 disponíveis na sua Loja.