Si chiama Clast82 il malware dropper che, dopo aver infettato gli smartphone Android eludendo i controlli di sicurezza del Google Play Store, attiva un malware-as-a-service di nome AlienBot Banker il cui scopo è quello di aggirare i codici di autenticazione a due fattori delle app di home banking per consentire ai cyber criminali di accedere ai conti finanziari delle vittime.
Clast82 integra anche funzionalità di trojan di accesso remoto mobile (MRAT) che, mediante TeamViewer, consente agli attaccanti di prendere il pieno controllo dello smartphone a insaputa della vittima.
Il malware è stato identificato dai ricercatori di Check Point Technologies all’interno di nove app lecite disponibili sul Play Store e ora rimosse da Google. Si consiglia, comunque, di effettuare un controllo sui propri device ed eliminare immediatamente le seguenti app compromesse da Clast82:
- Cake VPN
- Pacific VPN
- eVPN
- BeatPlayer
- QR/Barcode Scanner MAX
- Music Player
- QRecorder
- tooltipnatorlibrary
Clast82 è stato scoperto il 27 gennaio scorso e segnalato a Google il giorno dopo. A partire dal 9 febbraio tutte le app coinvolte con il dropper sono state rimosse dal Play Store. La disclosure è stata pubblicata sul blog di Check Point il 9 marzo.
Indice degli argomenti
Come difendersi dal malware Clast82
Chiunque abbia queste app sul proprio dispositivo deve disinstallarle immediatamente ed effettuare un controllo accurato del dispositivo e degli account modificando per precauzione anche le credenziali ai servizi e app finanziarie.
L’unico modo per rilevare la minaccia è quella di passare attraverso una scansione dello smartphone tramite una delle app di sicurezza (del tipo antivirus e affini n.d.r.).
Per il parco mobile aziendale è consigliabile scegliere e adottare una soluzione che possa monitora il dispositivo, scansionando costantemente le connessioni di rete e le applicazioni per rilevare eventuali connessioni non autorizzate verso server di C&C.
I dettagli tecnici di Clast82
I passi di attacco ricostruiti dai ricercatori consistono in quattro step:
- scaricamento dell’app dannosa da Google Play, contenente il dropper Clast82;
- comunicazione fra Clast82 e il server C&C per ricevere la configurazione;
- download del payload ricevuto dalla configurazione (il malware AlienBot Banker) e installazione sul dispositivo Android;
- accesso del cyber criminale alle credenziali finanziarie della vittima e controllo dello smartphone della vittima.
I ricercatori hanno scoperto che Clast82 utilizza la piattaforma Firebase di Google come server ci comando e controllo (C&C, Command & Control) e si appoggia a GitHub per l’hosting dei payload dannosi.
L’elusione delle protezioni del Google Play Store avviene quindi durante il periodo di valutazione dello store durante il quale il criminale utilizza una particolare tecnica di mascheramento, ovvero cambia un parametro per la configurazione di Firebase.
Questo parametro è impostato su “false” e cambierà in “true” solo dopo che Google avrà acconsentito alla pubblicazione dell’app infetta con Clast82 sul Play Store. In base al valore del parametro, il malware “deciderà” di attivare o meno il comportamento dannoso.
È stata inoltre scoperta l’infrastruttura utilizzata dall’attore malevolo per la distribuzione e il mantenimento della campagna. Per ogni app, l’aggressore ha creato un nuovo utente sviluppatore per Google Play Store, insieme a un repository sull’account GitHub dell’attore malevolo, permettendo così di distribuire diversi payload ai dispositivi che sono stati infettati da ogni app dannosa.
Anche in questo caso è bastata una semplice manipolazione di risorse legittime per aggirare i controlli, tipologia di comportamento usata anche nel “case della vulnerabilità webKIT” in cui sono state usate risorse lecite di Amazon S3 per fini malevoli.
Aviran Hazum, Manager of Mobile Research di Check Point, sottolinea le capacità creative ma preoccupanti degli attori malevoli che hanno ideato Clast82 ed aggirato le protezioni del Google Play Store: “con una semplice manipolazione di risorse di terze parti facilmente reperibili (account GitHub e un account Firebase), il criminale è stato in grado di sfruttare risorse disponibili per bypassare le protezioni di Google Play Store. Le vittime pensavano di scaricare un’innocua app di utility dallo store ufficiale di Android, ma invece era un pericoloso trojan che puntava ai loro conti finanziari.
La capacità del dropper di rimanere inosservato dimostra, secondo l’analista di Check Point, l’importanza del perché è necessaria una soluzione di sicurezza mobile: “non è sufficiente eseguire la scansione dell’app durante l’analisi, in quanto un attore malintenzionato può cambiare il comportamento dell’app utilizzando strumenti di terze parti”.
E aggiunge anche, come ulteriore elemento di preoccupazione, che i criminali sembrano essere sempre un passo avanti rispetto alla sicurezza di Google Play Store: “un anno fa avevamo messo in guardia il Play Store riguardo altre app dannose, ma i criminali informatici continuano ad evolvere le proprie tecniche e i propri malware. Clast82 è pericoloso per un semplice fatto: possiede un interruttore che gli permette di nascondersi dal rilevamento e può attivarsi una volta scaricato nello smartphone delle vittime. Google sta investendo risorse per combattere gli attacchi, ma dato lo stato attuale, non sembra essere abbastanza. Installare tool di prevenzione e difesa di smartphone aziendali e personali, al giorno d’oggi deve essere un must per tutti gli utenti. Gli smartphone sono diventati la nostra vita e il nostro lavoro, quindi non possiamo permetterci di perdere nemmeno un dato”.
L’analisi tecnica di dettaglio dei Clast82 è disponibile sul research blog di Check Point a firma dei tre ricercatori che hanno identificato il dropper ed è comprensiva degli IoC (Indicatori di compromissione).
Cosa sono i dropper
I software denominati dropper (tecnicamente trojan.dropper n.d.r.) sono componenti di malware generici o di trojan creati per poter installare “silenziosamente” il codice malevolo sul device target o aprire una backdoor su un sistema.
Si distinguono due tipologie di dropper: “prima fase” se il dropper contiene il codice del malware permettendogli di evitare il rilevamento da parte dei software di detection (antivirus) oppure di tipo “doppia fase” se il dropper, una volta attivo, può scaricare il malware nel sistema target. Sono inoltre distinti rispetto all’interazione utente, ovvero se richiedono all’utente una azione facendosi passare per codici innocui, oppure se sono silenti rispetto all’interazione utente sfruttando un exploit, un codice che si serve di una vulnerabilità del sistema (fonte: Malwarebytes).
I dropper sono disponibili per device Windows e Android. Su Windows, copiano file dannosi sull’unità in cui è installato il sistema operativo senza richiedere alcuna autorizzazione preventiva da parte dell’utente. Su Android, invece, installano app senza che l’utente ne sia a conoscenza. In un sistema operativo Android, le app dannose da rilasciare sono per lo più contenute nella directory delle risorse di Android / Trojan Dropper.
I dropper possono essere facilmente resi simili a qualsiasi altro file o applicazione fornendo loro icone e nomi di file diversi per evitare di essere riconosciuti dagli utenti.
Tipicamente, poi, su Windows un dropper disabilita anche il controllo dell’account utente (User Account Control- UAC) ovvero la funzionalità progettata per impedire modifiche non autorizzate al device digitale.