Android Geek
O maior site de Android em Português

10 Aplicações Android que devem remover de imediato

 (NASDAQ:

A Check Point Research , área de Threat Intelligence da  Check Point Software Technologies Ltd. (NASDAQ: CHKP), fornecedor líder especializado em soluções de cibersegurança a nível global, descobriu recentemente um programa malicioso inserido em 10 aplicações utilitárias da Google Play Store. Designado “Clast82” pelos investigadores, o dropper contornou as medidas de proteção da plataforma, sendo capaz de ativar o segundo estádio de ataque, no qual o hacker conseguiria aceder às contas bancárias das vítimas e exercer controlo sobre os seus telemóveis.

10 Aplicações Android que devem remover de imediato 1

Método do Clast82

O Clast82 dissemina o AlienBot Banker, o malware-as-a-service que alcança as aplicações financeiras, contornando os códigos de autenticação dupla requeridos tipicamente. Atualmente, o Clast82 está equipado com um trojan de acesso remoto (MRAT) capaz de controlar o dispositivo através da funcionalidade TeamViewer, dando ao atacante o poder de execução que este teria se tivesse o telemóvel fisicamente nas suas mãos.

Os investigadores da Check Point descrevem o método de ataque em 4 fases:

  1. Vítima faz download de uma aplicação utilitária presente na plataforma Google Play Store que contém o dropper Clast82
  2. Clast82 comunica com o servidor C&C para receber a configuração
  3. Clast82 faz download do payload recebido pela configuração, o AlienBot Banker, instalando-o, de seguida, no dispositivo Android
  4. Hacker adquire acesso às credenciais financeiras da vítima, conseguindo controlar inteiramente o seu telemóvel

Manipulação de terceiros para evitar a deteção da Google

O Clast82 utiliza uma série de técnicas para se evadir à deteção da Google Play Protect, entre as quais:

  • Utiliza o FireBase detido pela Google como plataforma para comunicação C&C. O atacante responsável pelo Clast82 alterou a configuração do comando e controlo através do FireBase, “desativando” o comportamento malicioso do Clast82, tornando-o indetetável no processo de avaliação de ameaças levado a cabo pela Google.
  • Utiliza o GitHub como plataforma terceira para fazer download do payload. Para cada aplicação, o agente malicioso criou um novo perfil de programador na Google Play Store, em conjunto com o repositório da sua conta no GitHub. Este modus operandi permitiu-lhe distribuir diferentes payloads pelos dispositivos que foram sendo infetados pelas aplicações maliciosas.
Relacionado:  Devemos pagar por antivírus para Android?

 

O hacker por detrás do Clast82 conseguiu contornar as proteções da Google Play através de uma metodologia criativa, mas muito preocupante. Com uma manipulação simples de terceiras plataformas já existentes, como o GitHub e o FireBase, aproveitou recursos prontamente disponíveis. As vítimas pensam estar a fazer download de uma aplicação utilitária inócua de um fornecedor Android oficial, mas o que recebem, na realidade, é um trojan perigoso que vai direto às suas contas financeiras,” começa por dizer Rui Duro, Country Manager da Check Point Portugal. “A sua capacidade de se manter indetetável vem reforçar a importância de utilizar soluções de segurança móvel. Fazer um simples scan da app no período de avaliação claramente não é suficiente, já que o atacante pode ir mudando o comportamento da aplicação – e é certo que o fará,” termina o responsável.

 

As 10 aplicações utilitárias envolvidas

O atacante fez uso de aplicações conhecidas e legítimas de código aberto. A lista é seguinte:

Nome Nome do Package
Cake VPN com.lazycoder.cakevpns
Pacific VPN com.protectvpn.freeapp
eVPN com.abcd.evpnfree
BeatPlayer com.crrl.beatplayers
BeatPlayer com.crrl.beatplayers
QR/Barcode Scanner MAX com.bezrukd.qrcodebarcode
eVPN com.abcd.evpnfree
Music Player com.revosleap.samplemusicplayers
tooltipnatorlibrary com.mistergrizzlys.docscanpro
QRecorder com.record.callvoicerecorder

Figura 1. Malware Clast82 na Google Play
Figura 1. Malware Clast82 na Google Play

A 28 de janeiro de 2021, a Check Point Research reportou as suas descobertas à Google. No dia 9 de fevereiro, a gigante tecnológica confirmou que todas as aplicações afetadas pelo Clast82 foram removidas da plataforma.

Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado!