Encontrado un dropper en 9 apps que ya han sido eliminadas de la Play Store de Google
- Actualidad
Los investigadores de Check Point Research identificaron un peligroso malware en nueve apps de la Play Store de Google, que ya las ha eliminado. Este dropper introducía otro tipo malware que permitía acceder a las cuentas bancarias de las víctimas y daba al atacante el control total de sus móviles.
|
Recomendados: 2021, ¿el año de la ciberdefensa? Webinar Por qué adoptar una infraestructura inteligente en la atención médica Leer |
Investigadores de la división de Inteligencia de Amenazas de Check Point acaban de informar de que descubrieron un nuevo dropper, un programa malicioso diseñado para introducir otro malware en el terminal de la víctima, que se estaba propagando en la Play Store de Google. Bautizado como "Clast82", el dropper ejecutaba un malware de segunda fase que proporcionaba al ciberdelincuente un acceso intrusivo a las cuentas bancarias de las víctimas, así como el control total de sus móviles. Check Point Research encontró Clast82 dentro de nueve apps, que abarcaban funciones como la grabación de pantalla o la VPN.
Según la firma de seguridad, Clast82 introducía el malware-as-a-service AlienBot Banker, un malware de segunda fase que ataca a las aplicaciones bancarias eludiendo su factor de doble de autenticación. Además, dice que “está compuesto por un troyano de acceso remoto móvil (MRAT) capaz de controlar el dispositivo con TeamViewer con lo que cibercriminal tiene acceso al como si lo tuviera en sus manos”.
Respecto a la forma de actuar, era la siguiente: la víctima descargaba una app maliciosa desde Google Play, que contenía Class82. Después el dropper se comunicaba con el servidor de C&C para recibir la configuración y seguidamente descargaba en el dispositivo Android un payload recibido por la configuración, y lo instalaba (en este caso, el AlienBot Banker). Era entonces cuando los ciberdelincuentes accedían a las credenciales bancarias de la víctima y procedían a controlar el terminal por completo.
El 28 de enero de 2021 se informó a Google de los hallazgos y el 9 de febrero de 2021, Google confirmó que todas las aplicaciones de Clast82 fueron eliminadas de Google Play Store.
Las nueve apps legítimas que eran utilizadas por los delincuentes eran Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR/Barcode Scanner MAX, eVPN, Music Player, tooltipnatorlibray y QRecorder, todas ellas de código abierto y bastante conocidas. El 28 de enero se informó a Google de los hallazgos y el 9 de febrero de 2021, Google todas las aplicaciones que contenían Clast82 fueron eliminadas de Google Play Store.
