Clast82
Los investigadores de infosec han descubierto una nueva campaña amenazante que tiene a los usuarios de Android como objetivos. La operación implica la distribución de cargas útiles de malware a través de nueve aplicaciones amenazantes que pudieron eludir las medidas de seguridad de Google Play Store. Para lograr esto, los actores de amenazas emplearon un nuevo lanzador de malware llamado Clast82.
Según los hallazgos de los analistas de seguridad, Clast82 se inyectó en aplicaciones legítimas conocidas de código abierto. Un total de nueve aplicaciones de este tipo pudieron penetrar en la tienda móvil de Google: BeatPlayer, Cake VPN, eVPN (dos versiones diferentes), Music Player, Pacific VPN, QR / Barcode Scanner MAX, QRecorder y tooltipnattorlibrary. Cada aplicación armada tenía su propio repositorio de código en GitHub, así como un nuevo usuario desarrollador para la tienda Google Play. La evidencia sugiere que un solo actor de amenazas está detrás de la operación: todas las cuentas de desarrollador falsas usaron la misma dirección de correo electrónico, mientras que la página de Política no solo era idéntica para cada aplicación, sino que también apuntaba al mismo repositorio de GitHub.
Cadena de ataque Clast82
El gotero Clast82 jugó un papel esencial en la campaña de ataque. La amenaza de malware determina si desencadenar su comportamiento amenazante en función de un parámetro específico recibido durante el período de evaluación para Google Play Store. Este parámetro está establecido en 'falso' de forma predeterminada y solo cambiará a 'verdadero' después de que la aplicación que lleva Clast82 se haya publicado en la tienda.
Una vez que los usuarios hayan descargado una de las aplicaciones amenazantes, Clast82 activará un servicio responsable de obtener la carga útil de la siguiente etapa. El cuentagotas pasa por alto el requisito de Android de mostrar una notificación en curso para su acción al mostrar lo que se llama una notificación 'neutral'. Por ejemplo, al usuario se le presentará un mensaje que simplemente dice 'GooglePlayServices' sin ningún detalle adicional. Si el dispositivo comprometido está configurado para bloquear cualquier instalación de aplicaciones de fuentes desconocidas, Clast82 comenzará a molestar al usuario con solicitudes falsas diseñadas para que parezca que provienen de Google Play Services. Las indicaciones intrusivas se generarán cada cinco segundos.
En la mayoría de los dispositivos infectados, Clast82 implementó un malware infostealer llamado AlienBot. Esta amenaza en particular está disponible para su compra como malware como servicio (MaaS) y permite a los atacantes inyectar código en aplicaciones bancarias legítimas. El objetivo es recopilar información de pago, como credenciales bancarias o detalles de tarjetas de crédito / débito. Sin embargo, en un par de casos, el ataque a los dispositivos comprometidos se intensificó al eliminar MRAT , una herramienta de malware de recolección de datos que se detectó por primera vez en 2014 cuando se usó contra manifestantes de Hong Kong.
Después de ser notificado sobre la campaña de ataque, Google eliminó todas las aplicaciones falsas de Clast82 disponibles en Play Store.
