Google eliminó nueve aplicaciones maliciosas de utilidad y VPN de Play Store después de que Check Point Research descubrió que contenían un gotero de malware.
La firma de ciberseguridad descubrió recientemente un nuevo cuentagotas que se propaga a través de Google Play Store, al que ha denominado Clast82. A diferencia de otros lanzadores de malware, Clast82 tiene la capacidad de evitar la detección por parte de Google Play Protect, completar con éxito el período de evaluación de Google y cambiar su carga útil a AlienBot Banker y MRAT.
La familia de malware AlienBot es un malware como servicio para teléfonos Android que permite a un atacante remoto inyectar código malicioso en aplicaciones financieras legítimas. Un atacante puede obtener acceso a las cuentas de las víctimas e incluso controlar completamente tu teléfono como si lo estuviera sosteniendo físicamente.
Si bien Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary y Qrecorder ahora se han eliminado de Google Play Store, si tienes alguna de estas aplicaciones instaladas en sus dispositivos, debe eliminar ellos inmediatamente.
Evitando la detección
Durante su investigación del cuentagotas Clast82, Check Point descubrió la infraestructura utilizada por el actor de amenazas detrás de él para distribuir y mantener la campaña.
Para cada aplicación, el actor creó un nuevo usuario desarrollador para Google Play Store junto con un repositorio en su cuenta de GitHub que les permitió distribuir diferentes cargas útiles a los dispositivos que estaban infectados con cada una de las aplicaciones maliciosas.
El cuentagotas Clast82 puede evitar la detección durante el período de evaluación de Google debido a que la configuración enviada desde el servidor Firebase C&C utilizado para controlarlo contiene un parámetro de «habilitación». Según el valor del parámetro, el malware «decidirá» si desencadena o no su comportamiento malicioso. Este parámetro se establece en «falso» y solo cambiará a «verdadero» después de que Google haya publicado una de las aplicaciones maliciosas del actor de amenazas en Play Store.
Para evitar ser víctima del malware AlienBot, Check Point recomienda que los usuarios examinen cuidadosamente cualquier aplicación antes de descargarla y la empresa de ciberseguridad también recomienda que los usuarios instalen una aplicación antivirus de Android en sus teléfonos inteligentes.