Dez aplicativos na Google Play são identificados com ataques a contas bancárias e controle dos dispositivos

A Check Point Research descobriu um novo programa de exclusão, que é um programa malicioso projetado para introduzir outro software malicioso em dispositivos móveis e se espalhar na Google Play Store.

Os pesquisadores da empresa o chamaram de “Clast82”, que rompeu com a proteção da loja oficial e executou a segunda fase do malware que permitia que os cibercriminosos invadissem a conta bancária da vítima e controlassem totalmente sua inteligência no celular.


O CPR encontrou o Clast82 entre dez aplicativos utilitários que cobrem funções como gravação de tela ou VPN.

O Clast82 introduziu o malware-as-a-service (MaaS) AlienBot Banker, por meio do qual pode contornar seu fator de autenticação de dois fatores para executar ataques em aplicativos bancários.

Além disso, o Clast82 consiste em um Trojan de acesso remoto móvel (MRAT) que pode usar o TeamViewer para controlar o dispositivo para que os cibercriminosos pudessem acessar o dispositivo móvel.

Os pesquisadores da Check Point apontaram o método de ataque usado pelo Clast82:

• A vítima baixava um aplicativo malicioso da Google Play Store que contém o programa malicioso Clast82.

• O Clast82 se comunicava com o servidor C&C para receber a configuração.

• O Clast82 baixava uma carga recebida pela configuração para o dispositivo Android e a instalava – neste caso, o malware AlienBot Banker era instalado.

• Os cibercriminosos acessavam as credenciais bancárias da vítima e procediam de modo a ter o controle total do dispositivo móvel.

Firebase (de propriedade do Google) como uma plataforma de comunicação C&C: durante o teste Clast82 no Google Play, os cibercriminosos usaram o Firebase para alterar as configurações no nível de comando e controle.

Por sua vez, os cibercriminosos “desativaram” o comportamento malicioso do Clast82 durante o período de teste do Google.

GitHub como uma plataforma de hospedagem de terceiros para baixar o payload: um cibercriminoso criou um novo usuário na Google Play Store e configurou um repositório em sua conta do GitHub, permitindo que o invasor atribua diferentes cargas efetivas a cada dispositivo para o qual a carga é distribuída o aplicativo malicioso no dispositivo infectado.

Apps removidos do Google Play

Em 28 de janeiro de 2021, o Google recebeu uma notificação dessas descobertas; em 9 de fevereiro deste ano, o Google confirmou que havia excluído todos os aplicativos Clast82 da Google Play Store.

Comente!