Play Store, toujours des problèmes de sécurité: encore un autre malware dangereux trouvé


Chercheurs en sécurité de Recherche de point de contrôle ils ont repéré un malware nouveau et dangereux à l’intérieur 9 application utilitaire présent sur le Google Play Store et maintenant heureusement supprimé.

La propagation du virus se fait via un compte-gouttes appelé Clast82, un programme spécialement conçu pour diffuser des malwares dans les smartphones des malheureux dans le but de fournir un contrôle complet de l’appareil et même accès aux applications financières en contournant les codes d’authentification à deux facteurs.

La division Threat Intelligence de Check Point Software Technologies a analysé la manière les malwares ont tendance à se propager …

Clast82 publie AlienBot Banker malware-as-a-service, un malware de deuxième étape qui cible les applications financières en contournant les codes d’authentification à deux facteurs pour ces services. Dans le même temps, Clast82 est équipé d’un cheval de Troie d’accès à distance mobile (MRAT) capable de contrôler l’appareil avec TeamViewer, faisant du pirate le véritable propriétaire à l’insu de la victime.

et d’attaquer:

  1. La victime télécharge une application utilitaire malveillante depuis Google Play, contenant le compte-gouttes Clast82
  2. Clast82 communique avec le serveur C&C pour recevoir la configuration
  3. Clast82 télécharge la charge utile reçue de la configuration et l’installe sur l’appareil Android – dans ce cas, l’AlienBot Banker
  4. Le pirate a accès aux informations d’identification financières de la victime et procède à la vérification complète du smartphone de la victime.

L’aspect curieux de l’histoire, si l’on peut la définir ainsi, vient du fait que l’une des deux techniques utilisées par Clast82 pour échapper à la détection des exploits de Google Play Protect Firebase, le service cloud pour les développeurs mobiles et web acquis par Google en 2014 et utilisé dans ce cas comme plateforme de communication C&C. La deuxième et dernière méthode, en revanche, utilise GitHub pour distribuer différentes charges utiles aux appareils qui ont été infectés par l’application malveillante.

Les 9 applications ont déjà été supprimées du Play Store. Check Point Research a communiqué ses conclusions à Google le 28 janvier 2021, tandis que la suppression de Mountain View par l’entreprise a eu lieu le 9 février.

  • Cake VPN – com.lazycoder.cakevpns
  • VPN du Pacifique – com.protectvpn.freeapp
  • eVPN – com.abcd.evpnfree
  • BeatPlayer – com.crrl.beatplayers
  • Scanner QR / code-barres MAX – com.bezrukd.qrcodebarcode
  • eVPN – com.abcd.evpnfree
  • Lecteur de musique – com.revosleap.samplemusicplayers
  • tooltipnatorlibrary – com.mistergrizzlys.docscanpro
  • QRecorder – com.record.callvoicerecorder