Un nuevo «dropper», un programa malicioso diseñado para introducir otro malware en un equipo, se ha identificado en diez aplicaciones de Play Store de Google con las que el ciberdelincuente podía acceder a las cuentas bancarias de las víctimas y controlar sus teléfonos móviles.
El «dropper», descubierto por los investigadores de Check Point Research y apodado Clast82, se ha encontrado dentro de diez aplicaciones para Android, que abarcaban funciones como la grabación de pantalla o la VPN.
En concreto, se trata de las aplicaciones Cake VPN, Pacific VPN, eVPN. BeatPlayer, BeatPlayer, QR/Barcode Scanner MAX, eVPN, Music Player, tooltipnatorlibrary y Qrecorder.
Como han explicado en un comunicado, Clast82 introduce el malware-as-a-service AlienBot Banker, un programa malicioso de segunda fase que ataca a las aplicaciones bancarias eludiendo su factor de doble de autenticación.
Además, Clast82 está compuesto por un troyano de acceso remoto móvil capaz de controlar el dispositivo con TeamViewer, lo que permite que el cibercriminal tenga acceso al dispositivo «como si lo tuviera en sus manos», según Check Point.
Para evitar ser detectado por Play Protect, el «dropper» utiliza la plataforma Firebase —propiedad de Google— para la comunicación del comando y control (C&C) y durante el periodo de evaluación se ‘desactivó’ su comportamiento malicioso.
Y para descargar el payload, es decir, la carga útil que se ejecuta, el cibercriminal utilizó GitHub. «Para cada aplicación, el cibercriminal ha creado un nuevo usuario en la tienda de Google Play, junto con un repositorio en la cuenta de GitHub, lo que le permite distribuir diferentes ‘payloads’ a los dispositivos infectados por cada aplicación maliciosa», explican desde la compañía de ciberseguridad.
Los investigadores de Check Point notificaron a Google sus descubrimientos el pasado 28 de enero, y este martes la compañía tecnológica ha confirmado que todas las aplicaciones de Clast82 han sido eliminadas de Play Store.
