10 apps Android que debes borrar: est��n infectadas por el malware bancario Clast82

Check Point Research descubre un nuevo ��dropper�� que infectaba hasta 10 aplicaciones de la Google Play Store.

Actualizado a 11 de marzo de 2021 18:15 CET

Un dropper es un tipo de virus troyano que ha sido dise?ado para instalar alg��n tipo de malware -ransomware, adware, etc- en un sistema o dispositivo elegido. El c��digo del malware puede estar contenido dentro del dropper (de una sola etapa) de tal manera que se evite su detecci��n por parte de los esc��neres de virus o el dropper puede descargar el malware a la m��quina objetivo una vez activado (dos etapas).

Clast82

Check Point Research (CPR) ha descubierto recientemente un nuevo dropper que se propaga a trav��s de la tienda Google Play. El dropper, apodado Clast82, tiene la capacidad de evitar la detecci��n por parte de Google Play Protect, completar el periodo de evaluaci��n con ��xito y cambiar la carga ��til lanzada de una carga ��til no maliciosa a AlienBot Banker y MRAT.

La familia de malware AlienBot es un malware como servicio (MaaS) para dispositivos Android que permite a un atacante remoto inyectar c��digo malicioso en aplicaciones financieras leg��timas que el m��vil tenga instaladas.

El atacante obtiene acceso a las cuentas de las v��ctimas y, finalmente, controla por completo su dispositivo. Al tomar el control de un dispositivo, el atacante tiene la capacidad de controlar ciertas funciones, como si estuviera sosteniendo el dispositivo f��sicamente, como instalar una nueva aplicaci��n en el dispositivo, o incluso controlarlo con TeamViewer.

Pasar la evaluaci��n de Google Play

Durante el periodo de evaluaci��n de Clast82 en Google Play, la configuraci��n enviada desde el C&C de Firebase contiene un par��metro de activaci��n. En funci��n del valor del par��metro, el malware 'decide' activar o no el comportamiento malicioso. Este par��metro est�� configurado en 'falso, y cambia a 'verdadero' despu��s de que Google haya publicado el malware Clast82 en Google Play. As�� es su Modus Operandi:

El criminal sube el malware Clast82 a Google Play Store
Google Play Evaluaci��n contacta con el C&C (infraestructura mando y control, Command and control en ingl��s) de FireBase, la plataforma de Google para crear apps para m��viles y p��ginas web.
FireBase le da a la app de Clast82 una ��Luz Roja��, la app desactiva su comportamiento malicioso para pasar el proceso
Google aprueba la app Clast82, que se pone a disposici��n de los usuarios de la Play Store
La v��ctima descarga e instala la app, que contacta con el C&C de FireBase para recibir ��Luz Verde��
El dispositivo con la app infectada contacta con GitHub para descargar e instalar el malware de Malicious.

10 apps que borrar

Para los expertos de Check Point, no basta con escanear la aplicaci��n durante el periodo de evaluaci��n, ya que un actor malicioso puede, y lo har��, cambiar el comportamiento de la aplicaci��n utilizando herramientas de terceros. Como la carga ��til lanzada por Clast82 no se origina en Google Play, el escaneo de las aplicaciones antes de someterlas a revisi��n no impedir��a realmente la instalaci��n de la carga ��til maliciosa.

Por ello, ��una soluci��n que monitorice el propio dispositivo, escaneando constantemente las conexiones de red y los comportamientos por aplicaci��n" ser��a capaz de detectar dicho comportamiento��. Despu��s de que Check Point Research informara de sus hallazgos al equipo de seguridad de Android, Google confirm�� que todas las aplicaciones de Clast82 fueron eliminadas de Google Play Store. Pero si tienes alguna de estas instaladas, b��rralas en el acto:

Cake VPN
Pacific VPN
eVPN
BeatPlayer
BeatPlayer
QR/Barcode Scanner MAX
eVPN
Music Player
tooltipnatorlibrary
Qrecorder