9 aplicaciones de Android en Google Play detectadas distribuyendo malware AlienBot Banker y MRAT

0
753

Los investigadores de ciberseguridad han descubierto un nuevo lanzador de malware contenido en hasta 9 aplicaciones de Android distribuidas a través de Google Play Store que implementa un malware de segunda etapa capaz de obtener acceso intrusivo a las cuentas financieras de las víctimas, así como control total de sus dispositivos.

“Este cuentagotas, denominado Clast82, utiliza una serie de técnicas para evitar la detección por parte de Google Play Protect, completa el período de evaluación con éxito y cambia la carga útil caída de una carga útil no maliciosa a AlienBot Banker y MRAT”, los investigadores de Check Point, Aviran Hazum, Bohdan Melnykov e Israel Wernik, dijeron en un artículo publicado hoy.

Las aplicaciones que se utilizaron para la campaña incluyen Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary y QRecorder. Después de que se informaran los hallazgos a Google el 28 de enero, las aplicaciones maliciosas se eliminaron de Play Store el 9 de febrero.

Los autores de malware han recurrido a una variedad de métodos para eludir los mecanismos de investigación de las tiendas de aplicaciones. Ya sea usando el cifrado para ocultar cadenas de los motores de análisis, creando versiones falsas de aplicaciones legítimas o creando reseñas falsas para atraer a los usuarios a que descarguen las aplicaciones, los estafadores han contraatacado los intentos de Google de asegurar la plataforma desarrollando constantemente nuevas técnicas para deslizarse. la red.

Igualmente populares son otros métodos como el control de versiones, que se refiere a cargar una versión limpia de la aplicación en Play Store para generar confianza entre los usuarios y luego agregar sigilosamente código no deseado en una etapa posterior a través de actualizaciones de la aplicación, e incorporar retrasos basados ​​en el tiempo para activar el Funcionalidad maliciosa en un intento de evadir la detección por parte de Google.

vpn appClast82 no es diferente en que utiliza Firebase como una plataforma para la comunicación de comando y control (C2) y hace uso de GitHub para descargar las cargas útiles maliciosas, además de aprovechar las aplicaciones legítimas y conocidas de Android de código abierto para insertar la funcionalidad Dropper.

hacking android

“Para cada aplicación, el actor creó un nuevo usuario desarrollador para la tienda Google Play, junto con un repositorio en la cuenta de GitHub del actor, lo que le permitió distribuir diferentes cargas útiles a los dispositivos que fueron infectados por cada aplicación maliciosa”, señalaron los investigadores. .

Por ejemplo, se descubrió que la aplicación maliciosa Cake VPN se basaba en una versión de código abierto de su homónimo creada por un desarrollador con sede en Dhaka con el nombre de Syed Ashraf Ullah. Pero una vez que se inicia la aplicación, aprovecha la base de datos en tiempo real de Firebase para recuperar la ruta de carga útil de GitHub, que luego se instala en el dispositivo de destino.

En caso de que se haya desactivado la opción de instalar aplicaciones de fuentes desconocidas, Clast82 insta repetidamente al usuario cada cinco segundos con un mensaje falso de “Google Play Services” para habilitar el permiso, y finalmente lo usa para instalar AlienBot, un MaaS bancario de Android ( malware-as-a-service) capaz de robar credenciales y códigos de autenticación de dos factores de aplicaciones financieras.

malware apps

El mes pasado, una popular aplicación de escáner de código de barras con más de 10 millones de instalaciones se volvió deshonesta con una sola actualización después de que su propiedad cambió de manos. En un desarrollo similar, una extensión de Chrome con el nombre de The Great Suspender se desactivó luego de los informes de que el complemento agregaba sigilosamente funciones que podrían explotarse para ejecutar código arbitrario desde un servidor remoto.

“El hacker detrás de Clast82 pudo eludir las protecciones de Google Play utilizando una metodología creativa, pero preocupante”, dijo Hazum. “Con una simple manipulación de recursos de terceros fácilmente disponibles, como una cuenta de GitHub o una cuenta de FireBase, el pirata informático pudo aprovechar los recursos disponibles para eludir las protecciones de Google Play Store. Las víctimas pensaron que estaban descargando una aplicación de utilidad inocua del mercado oficial de Android, pero lo que realmente estaban obteniendo era un troyano peligroso que venía directamente a sus cuentas financieras “.

Fuente: