Google ha rimosso nove app VPN dal Play Store dopo che Check Point Research ha scoperto che contenevano un malware. L’azienda di sicurezza informatica ha recentemente scoperto un nuovo malware che si diffonde tramite il Google Play Store che ha soprannominato Clast82.
A differenza di altri dropper di malware, Clast82 ha la capacità di evitare il rilevamento da parte di Google Play Protect, completare con successo il periodo di valutazione di Google e cambiare il suo payload in AlienBot Banker e MRAT.
Google: le app sono state giá rimosse dal Play Store
La famiglia di malware AlienBot è un Malware-as-a-Service (MaaS) per dispositivi Android che consente a un utente malintenzionato remoto di iniettare codice dannoso in app finanziarie legittime. Un utente malintenzionato può ottenere l’accesso agli account delle vittime e persino controllare completamente il proprio dispositivo come se lo tenesse fisicamente.
Sebbene Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary e Qrecorder siano stati tutti rimossi dal Google Play Store, se hai una di queste app installata sui tuoi dispositivi, dovresti eliminarla immediatamente. Durante la sua indagine sul malware Clast82, Check Point ha scoperto l’infrastruttura utilizzata per distribuire il malware.
Per ogni applicazione é stato creato un nuovo utente sviluppatore per Google Play Store insieme a un repository sul proprio account GitHub che gli ha permesso di distribuire diversi payload ai dispositivi infettati da ciascuna delle app dannose.
Il dropper Clast82 è in grado di evitare il rilevamento durante il periodo di valutazione di Google in quanto la configurazione inviata dal server Firebase C&C utilizzato per controllarlo contiene un parametro “enable”. In base al valore del parametro, il malware “deciderà” se attivare o meno il suo comportamento dannoso.
Per evitare di cadere vittima del malware AlienBot, Check Point consiglia agli utenti di esaminare attentamente le app prima di scaricarle e l’azienda di sicurezza informatica consiglia inoltre agli utenti di installare un’app antivirus Android sui propri smartphone.