Se encontró un nuevo gotero de malware que infectaba los dispositivos Android con AlienBot Banker y MRAT

Los investigadores de Check Point descubrieron una nueva campaña de malware en Google Playstore, donde un atacante propaga un cuentagotas a través de varias aplicaciones para infectar a los usuarios con AlienBot Banker y MRAT. El cuentagotas, llamado Clast82, está usando Firebase para conectarse a C2 y GitHub para obtener la carga útil maliciosa.

Clast82: un nuevo gotero de malware para Android

Los piratas informáticos en su modus operandi implementan varias técnicas para evitar ser detectados. Puede ser el uso de software legítimo, ingeniería social, etc. Una nueva campaña de malware detectada por Investigadores de Check Point, una empresa de ciberseguridad ha utilizado una de estas técnicas para no sospechar nada e infectar dispositivos Android por robo de datos.

Según el informe, varias aplicaciones que se encuentran en Google Playstore tienen un gotero de malware llamado Clast82, que estaba limpio cuando se instaló y no fue marcado como sospechoso por Google durante la lista. Pero una vez instalado en el dispositivo, el cuentagotas se conecta al C2 del hacker a través de Firebase para obtener instrucciones. Deben saber de dónde debe obtener la carga útil maliciosa.

Attack Flow Clast82
Flujo de ataque Clast82. Fuente: Check Point

Se informa que el pirata informático ha definido más de 100 rutas de carga útil para apuntar a su cuentagotas. ¡Todo en GitHub! Esto es interesante, ya que las cargas útiles adquiridas de rutas legítimas, como GitHub, no generan ningún aviso por parte del software antivirus, lo que suaviza el flujo. La carga útil maliciosa introducida es la Banquero de AlienBot y MRAT.

AlienBot es un caballo de Troya bancario que infecta dispositivos y permite a los autores el manejo remoto de dispositivos. El objetivo final de AlienBot es robar las credenciales bancarias y los códigos 2FA del objetivo.. Los investigadores identificaron esta actividad sospechosa después de encontrar las direcciones de correo electrónico y las cuentas de GitHub definidas en esas aplicaciones en Google Playstore que pertenecen a una de ellas.

El fabricante de este cuentagotas ajustó las aplicaciones de propagación para cumplir sin problemas con las reglas de Playstore de Google y también realizar su trabajo malicioso. Por ejemplo, para que una regla muestre una notificación en la parte superior, estas aplicaciones nombran el proceso en primer plano que se ejecuta en sus aplicaciones, como Google Play Services.

Además, piden reinstalar la aplicación de fuentes desconocidas y obligan a los usuarios a permitir notificaciones frecuentes. Las aplicaciones que llevan este cuentagotas son Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary y QRecorder. Después del descubrimiento inicial el 27 de enero, Google eliminó las aplicaciones en cuestión de Playstore el 9 de febrero.