Google a supprimé neuf utilitaires malveillants et applications VPN du Play Store après avoir découvert qu’ils contenaient un compte-gouttes de logiciels malveillants par Check Point Research.
La société de cybersécurité a récemment découvert un nouveau compte-gouttes se propageant via le Google Play Store qu’elle a surnommé Clast82. Contrairement à d’autres droppers de logiciels malveillants, Clast82 a la capacité d’éviter la détection par Google Play Protect, de terminer avec succès la période d’évaluation de Google et de changer sa charge utile en AlienBot Banker et MRAT.
La famille de logiciels malveillants AlienBot est un Malware-as-a-Service (MaaS) pour les appareils Android qui permet à un attaquant distant d’injecter du code malveillant dans des applications financières légitimes. Un attaquant peut accéder aux comptes des victimes et même contrôler complètement leur appareil comme s’il le tenait physiquement.
Bien que Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary et Qrecorder aient tous été supprimés du Google Play Store, si l’une de ces applications est installée sur vos appareils, vous devez supprimer les immédiatement.
Sommaire
Éviter la détection
Au cours de son enquête sur le compte-gouttes Clast82, Check Point a découvert l’infrastructure utilisée par l’acteur menaçant derrière lui pour distribuer et maintenir la campagne.
Pour chaque application, l’acteur a créé un nouvel utilisateur développeur pour le Google Play Store avec un référentiel sur son compte GitHub qui leur a permis de distribuer différentes charges utiles aux appareils infectés par chacune des applications malveillantes.
Le compte-gouttes Clast82 est capable d’éviter la détection pendant la période d’évaluation de Google en raison du fait que la configuration envoyée depuis le serveur Firebase C&C utilisé pour le contrôler contient un paramètre «enable». En fonction de la valeur du paramètre, le logiciel malveillant «décidera» alors s’il doit ou non déclencher son comportement malveillant. Ce paramètre est défini sur «faux» et ne deviendra «vrai» qu’après que Google aura publié l’une des applications malveillantes de l’acteur menaçant sur le Play Store.
Pour éviter d’être victime du malware AlienBot, Check Point recommande aux utilisateurs d’examiner attentivement toutes les applications avant de les télécharger et la société de cybersécurité recommande également aux utilisateurs d’installer une application antivirus Android sur leurs smartphones.
