Sono 10 app malevole quelle incriminate. La compagnia di sicurezza ha scorto la sagoma di un virus chiamato Clast82 in grado di rilasciare il malware-as-a-service AlienBot Banker, appositamente progettato per eludere i sistemi di sicurezza basati su logica 2FA (autenticazione a due fattori).
Gli incaricati all’analisi del codice sorgente hanno individuato il componente in tante app tra cui VPN, QR Reader e lettori musicali. Potente, in quanto è in grado di attuare il controllo remoto dei device controllando a distanza il telefono della vittima con TeamViewer onde carpire i codici di accesso alle app bancarie.
Progettato per aggirare il Google Play Protect, usa due tecniche principali. Il primo passa per l’uso di Firebase per il comando ed il controllo a distanza. Il secondo, invece, usa il payload di GitHub unitamente ad un repository garantendo una diversa versione del malware per ciascuna versione dell’app installata.
Il responsabile della ricerca mobile presso Check Point – Aviran Hazum – ha così definito creative le tecniche adottate degli hacker, aggiungendo anche che:
“Le vittime pensavano di scaricare un’innocua app di utilità dallo store Android ufficiale, ma quello che stavano ottenendo in realtà era un pericoloso Trojan che si occupava direttamente dei loro conti finanziari.
La capacità del dropper di non essere rilevato dimostra l’importanza del motivo per cui gli utenti dovrebbero installare una soluzione di sicurezza mobile sul proprio dispositivo. Non è sufficiente eseguire la scansione dell’app durante il periodo di valutazione, poiché un malintenzionato può e cambierà il comportamento dell’applicazione utilizzando strumenti di terze parti prontamente disponibili”.