Pesquisadores identificam novo malware que se espalhou na Google Play Store

Um novo dropper, programa malicioso projetado para introduzir outro malware nos dispositivos móveis, denominado “Clast82”, se espalhou na Google Play Store, de acordo com a Check Point Research (CPR), braço de Inteligência em Ameaças da Check Point Software Technologies Ltd. A fornecedora de soluções de cibersegurança encontrou o Clast82 em dez aplicativos utilitários, abrangendo funções como gravação de tela ou VPN.

Leia também: Tudo o que você precisa saber sobre o megavazamento de dados

O Clast82 desviou-se das proteções da loja oficial e executou um malware de segundo estágio, o qual concedia ao cibercriminoso acesso intrusivo às contas bancárias das vítimas, bem como o controle total de seus smartphones.

O dropper introduz o malware-as-a-service (MaaS) AlienBot Banker com o qual executa o ataque aos aplicativos bancários desviando-se do seu duplo fator de autenticação. Além disso, o Clast82 é composto por um trojan de acesso remoto móvel (MRAT) capaz de controlar o dispositivo com o TeamViewer para que os cibercriminosos tenham acesso ao aparelho como se o tivessem em suas mãos.

Segundo os pesquisadores, após a vítima baixar um aplicativo malicioso da Google Play Store contendo o programa malicioso Clast82, ele se comunicava com o servidor C&C para receber a configuração. Depois, o programa malicioso baixava uma carga recebida pela configuração para o dispositivo Android e a instalava – neste caso, o malware AlienBot Banker. Os cibercriminosos, então, acessavam as credenciais bancárias da vítima e procediam de modo a ter o controle total do dispositivo móvel.

“O cibercriminoso por trás do Clast82 conseguiu contornar as proteções da Google Play usando uma metodologia criativa. Com uma simples manipulação de recursos de terceiros facilmente acessíveis, como uma conta GitHub ou uma conta FireBase, ele aproveitou os recursos para desviar-se das proteções da Google Play Store. As vítimas pensaram que estavam baixando um aplicativo inofensivo do Android, mas o que realmente receberam foi um trojan perigoso que foi diretamente para suas contas bancárias”, explica Aviran Hazum, Diretor de Pesquisa de Ameaças Móveis da Check Point.

“A capacidade do dropper de passar despercebido demonstra a importância de se ter uma solução de segurança móvel. Não é suficiente apenas escanear o aplicativo durante o período de avaliação, já que um cibercriminoso pode, e irá, mudar o comportamento do aplicativo usando ferramentas de terceiros disponíveis”, complementa.

Em 28 de janeiro de 2021, o Google foi informado a respeito dessas descobertas e, em 9 de fevereiro deste ano, o Google confirmou que todos os aplicativos Clast82 foram removidos da Google Play Store.