Ben 9 app introdotte di recente nel Google Play Store sono in realtà uno scrigno di malware. All’interno di queste app, infatti, è stato individuato un dropper, programma capace di eludere i controlli di Google e rilasciare la minaccia ad app avviata.
A dare l’allarme ci ha pensato Check Point Research, la divisione Threat Intelligence della società Check Point® Software Technologies Ltd, che ha divulgato un comunicato stampa circa la nuova minaccia.
Clast82, questo il nome dato dai ricercatori al dropper, è stato ritrovato in ben 9 app presenti nello store digitale: controllate se avete scaricato una di queste, perché potrebbe interferire con i vostri dati e penetrare anche nel conto corrente.
Clast82, il pericoloso dropper è presente in 9 app del Google Play Store: assicuratevi di non averle scaricate
Il dropper impiega risorse di terze parti per nascondersi da Google. Clast82 infatti utilizza Firebase (di proprietà della stessa Google) come piattaforma per la comunicazione C&C, mentre adopera GitHub come piattaforma di hosting di terze parti da cui scaricare il payload.
Il suo metodo d’attacco si articola in più fasi: una volta che la vittima ha scaricato l’app in cui – senza saperlo – è presente il dropper, Clast82 comunica con il server C&C per ricevere la configurazione, scarica il payload da GitHub e lo installa sul dispositivo Android. In questo caso, si tratta del malware-as-a-service AlienBot Banker, che ha come target le app finanziarie riuscendo a bypassarne l’autenticazione a due fattori.
Procedendo così, l’hacker ottiene accesso alle credenziali dei servizi finanziari e di banking online.
Le app in cui è nascosto il dropper sono queste, seguite dal rispettivo Package Name:
- Cake VPN – com.lazycoder.cakevpns
- Pacific VPN – com.protectvpn.freeapp
- eVPN – com.abcd.evpnfree
- BeatPlayer – com.crrl.beatplayers
- QR/Barcode Scanner MAX – com.bezrukd.qrcodebarcode
- eVPN – com.abcd.evpnfree
- Music Player – com.revosleap.samplemusicplayers
- tooltipnatorlibrary – com.mistergrizzlys.docscanpro
- QRecorder – com.record.callvoicerecorder.
Google, a seguito della segnalazione della società, ha provveduto a rimuovere queste app dal proprio Play Store, ma potrebbero ancora essere installate sui vostri smartphone.
Cancellatele immediatamente, o rischierete che vi sia sottratto denaro dal conto e vengano rubati i vostri dati sensibili.