Clast82 è un pericoloso malware e di recente, come scoperto dagli esperti di Check Point Research, ha preso di mira migliaia di smartphone Android. Come? Direttamente dal Google Play Store, nascosto in 9 applicazioni parecchio famose. Il pericolo è scampato, ma solo da pochi giorni.
Android: pericoloso malware in 9 applicazioni
Clast82 funzionava in due modi, entrambi terribili per gli utenti. Il primo era quello che vedeva protagoniste le app finanziarie, assalite dal software. L’autenticazione a due fattori era addirittura bypassata.
La seconda modalità di attacco invece agiva direttamente tramite Teamviewer, software che consente di gestire i dispositivi da remoto. In soldoni, gli smartphone potevano essere controllati a distanza dai malintenzionati.
A far più paura è che, ancora una volta, il malware si è tranquillamente diffuso in modo “ufficiale”, ovvero attraverso applicazioni presenti sul Google Play Store. In tutto, sono 9:
- Cake VPN (com.lazycoder.cakevpns)
- Pacific VPN (com.protectvpn.freeapp)
- eVPN (com.abcd.evpnfree)
- BeatPlayer (com.crrl.beatplayers)
- QR/Barcode Scanner MAX (com.bezrukd.qrcodebarcode)
- eVPN (com.abcd.evpnfree)
- Music Player (com.revosleap.samplemusicplayers)
- tooltipnatorlibrary (com.mistergrizzlys.docscanpro)
- QRecorder (com.record.callvoicerecorder)
Ad oggi, c’è da stare relativamente tranquilli. Ovviamente, gli esperti di Check Point Research non hanno subito reso nota la notizia, ma hanno prima comunicato quanto scoperto a Google. Al 9 di febbraio, il colosso di Mountain View ha confermato che tutte le app infette sono state rimosse dal Play Store.
In merito a quanto scoperto, Aviran Hazum, Manager of Mobile Research di Check Point, ha dichiarato:
“L’hacker dietro Clast82 è stato in grado di aggirare le protezioni di Google Play utilizzando una metodologia creativa, ma preoccupante. Con una semplice manipolazione di risorse di terze parti facilmente reperibilii – come un account GitHub, o un account FireBase – l’hacker è stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store. Le vittime pensavano di scaricare un’innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari. La capacità del dropper di rimanere inosservato dimostra l’importanza del perché è necessaria una soluzione di sicurezza mobile. Non è sufficiente eseguire la scansione dell’app durante l’analisi, in quanto un attore malintenzionato può, e lo farà, cambiare il comportamento dell’app utilizzando strumenti di terze parti.”