Skip to main content

Google rimuove dal Play Store numerose app di sicurezza dannose

Phone malware
(Image credit: Shutterstock)

Google ha rimosso nove utility, tra cui alcune app VPN, dal Play Store dopo che Check Point Research ha scoperto che contenevano al loro interno un malware di tipo dropper, capace di installare a sua volta ulteriori software dannosi.

L'azienda, che si occupa di sicurezza informatica di alto livello, ha recentemente scoperto un nuovo dropper che si sta diffondendo tramite il Google Play Store, soprannominato Clast82. A differenza di altri malware simili, Clast82 ha la capacità di evitare il rilevamento da parte di Google Play Protect, terminare in maniera silente il periodo di valutazione di Google e modificare il proprio payload con quello di AlienBot Banker e MRAT.

AlienBot fa parte di una famiglia Malware-as-a-Service (MaaS) per dispositivi Android che consente a un malintenzionato di iniettare codice dannoso da remoto in app finanziarie legittime per ottenere l'accesso agli account delle vittime e persino prendere il controllo completo del dispositivo infetto.

I software incriminati rimossi dal Play Store sono: Cake VPN, Pacific VPN, eVPN, BeatPlayer, QR / Barcode Scanner MAX, Music Player, tooltipnatorlibrary e Qrecorder. Nonostante ora non sia più possibile installarli, dovreste verificare di non averne una o più installate e, in caso contrario, dovreste rimuoverle al più più presto dai vostri dispositivi.

Come può evitare di essere rilevato

Durante l'indagine sul dropper Clast82, Check Point ha scoperto l'infrastruttura utilizzata per diffondere e usufruire della campagna virale.

Per ogni applicazione, il cybercriminale ha creato un nuovo sviluppatore su Google Play Store, insieme a un repository sul proprio account GitHub, che gli ha permesso di distribuire diversi payload ai dispositivi infettati da ciascuna delle app dannose.

Il dropper Clast82 è in grado di evitare il rilevamento durante il periodo di valutazione di Google in quanto la configurazione inviata dal server Firebase C&C utilizzato per verificarlo contiene un parametro “enable”. In base al valore del parametro, il malware può decidere se aspettare o attivare la modalità dannosa.

Questo parametro è impostato inizialmente su "false" e cambierà in "true" solo dopo che Google avrà pubblicato l'app dannosa sul Play Store.

Per evitare di infettarsi con il malware AlienBot, Check Point consiglia agli utenti di esaminare attentamente le app prima di scaricarle e di installare inoltre un'app antivirus sul proprio smartphone.