blank

Ben 9 app introdotte di recente nel Google Play Store sono in realtà uno scrigno di malware. All’interno di queste app, infatti, è stato individuato un dropper, programma capace di eludere i controlli di Google e rilasciare la minaccia ad app avviata.

A dare l’allarme ci ha pensato Check Point Research, la divisione Threat Intelligence della società Check Point® Software Technologies Ltd, che ha divulgato un comunicato stampa circa la nuova minaccia.

Clast82, questo il nome dato dai ricercatori al dropper, è stato ritrovato in ben 9 app presenti nello store digitale: controllate se avete scaricato una di queste, perché potrebbe interferire con i vostri dati e penetrare anche nel conto corrente.

Clast82, il pericoloso dropper è presente in 9 app del Google Play Store: assicuratevi di non averle scaricate

Il dropper impiega risorse di terze parti per nascondersi da Google. Clast82 infatti utilizza Firebase (di proprietà della stessa Google) come piattaforma per la comunicazione C&C, mentre adopera GitHub come piattaforma di hosting di terze parti da cui scaricare il payload.

Il suo metodo d’attacco si articola in più fasi: una volta che la vittima ha scaricato l’app in cui – senza saperlo – è presente il dropper, Clast82 comunica con il server C&C per ricevere la configurazione, scarica il payload da GitHub e lo installa sul dispositivo Android. In questo caso, si tratta del malware-as-a-service AlienBot Banker, che ha come target le app finanziarie riuscendo a bypassarne l’autenticazione a due fattori.

Procedendo così, l’hacker ottiene accesso alle credenziali dei servizi finanziari e di banking online.

Le app in cui è nascosto il dropper sono queste, seguite dal rispettivo Package Name:

  • Cake VPN – com.lazycoder.cakevpns
  • Pacific VPN – com.protectvpn.freeapp
  • eVPN – com.abcd.evpnfree
  • BeatPlayer – com.crrl.beatplayers
  • QR/Barcode Scanner MAX – com.bezrukd.qrcodebarcode
  • eVPN – com.abcd.evpnfree
  • Music Player – com.revosleap.samplemusicplayers
  • tooltipnatorlibrary – com.mistergrizzlys.docscanpro
  • QRecorder – com.record.callvoicerecorder.

Google, a seguito della segnalazione della società, ha provveduto a rimuovere queste app dal proprio Play Store, ma potrebbero ancora essere installate sui vostri smartphone.

Cancellatele immediatamente, o rischierete che vi sia sottratto denaro dal conto e vengano rubati i vostri dati sensibili.