Clast82, il dropper che puntava a svuotare i conti degli utenti Android

La società Check Point Research ha scoperto una nuova minaccia sui dispositivi Android: si tratta del dropper “Clast82”, con il primario obiettivo di svuotare i conti finanziari dei malcapitati utenti.

Un nuovo dropper ha minacciato la sicurezza dei dispositivi Android. A lanciare l’allarme è la società Check Point Research, che in un recente comunicato stampa ha provveduto a far lumi sull’ennesima pagina a forti tinte di criticità. Secondo le ricostruzioni degli specialisti, sarebbero state ben nove le applicazioni del Google Play Store ad esser ricettacolo di malware: quest’ultime, infatti, avrebbero ospitato il dropper contrassegnato dai ricercatori sotto l’appellativo di “Clast82“, ossia un programma messo a punto dagli hacker al fine di installare un virus sul dispositivo del malcapitato utente, squarciandone consequenzialmente la sicurezza dei dati personali.

Le app incriminate, disponibili fino a poco tempo fa al download sul Play Store di Android, avrebbero utilizzato un approccio “malware-as-a-service“, reso giocoforza necessario per bypassare i controlli automatizzati del Google Play Protect. Le applicazioni di cui si discorre si presentavano apparentemente legittime, giacché non contenevano – all’atto della pubblicazione sullo store del “robottino verde” – alcuna traccia di codice malevolo. Discorso diametralmente diverso nel momento in cui il software veniva invece installato dall’utente all’interno del proprio dispositivo mobile: l’app disponeva infatti il download del malware tramite un server command & control (C&C) controllato dagli hacker, avendo peraltro cura di disabilitare il comportamento dannoso durante il processo di analisi avviato automaticamente da Google.

POTREBBE INTERESSARTI ANCHE >>> La misteriosa foto della nave che solca i mari fluttuando nell’aria

L’obiettivo dei conti finanziari

Il risultato è perciò presto detto: Clast82 sfuggiva ai controlli dei sistemi di sicurezza incorporati su Android e installava il codice malevolo (nello specifico, AlienBot Banker, ossia un malware di secondo stadio progettato per carpire le credenziali delle app finanziarie, bypassando l’autenticazione a due fattori). Peraltro, il dropper in questione era altresì dotato di un trojan di accesso remoto mobile, tramite il quale l’hacker poteva controllare il dispositivo mobile del malcapitato utente, attingendo per l’occasione al programma TeamViewer. L’obiettivo centrale del controverso meccanismo era soprattutto l’accesso ai conti finanziari delle vittime che avevano installato una delle nove applicazioni coinvolte.

POTREBBE INTERESSARTI ANCHE >>> App Google, giro di vite per gli smartphone Android non certificati

Sebbene Google abbia provveduto a rimuovere le app incriminate, riportiamo per completezza la lista dei programmi malevoli così come comunicata da Check Point Research. Sullo sfondo, resta comunque l’ennesima piaga di sicurezza, con l’aggravante della disponibilità delle app in questione sul Play Store e perciò potenzialmente di dominio pubblico:

1. Cake VPN
2. Pacific VPN
3. eVPN
4. BeatPlayer
5. QR/Barcode Scanner MAX
6. eVPN
7. Music Player
8. tooltipnatorlibrary
9. QRecorder