Check Point Research (CPR) a découvert un nouveau dropper, un programme malveillant conçu pour diffuser d’autres logiciels malveillants sur le téléphone d’une victime, dans 10 applications utilitaires du Google Play Store. Surnommé « Clast82 » par les chercheurs, le dropper a contourné la sécurité du Google Play Store pour reconstituer un logiciel malveillant de deuxième niveau. Il a permis à un pirate d’accéder aux comptes financiers des victimes et de contrôler leurs téléphones portables.
- Un hacker a manipulé des ressources tierces facilement disponibles (Firebase et Github) pour échapper à la détection de Google Play Protect
- Le logiciel malveillant de deuxième niveau déclenché par Clast82 est capable de contourner l’authentification à deux facteurs sur les comptes financiers et de fournir un contrôle total sur le téléphone d’une victime, comme si le pirate avait le téléphone dans la main.
- CPR a fait preuve de responsabilité et a fait part de ses conclusions à Google. Le 9 février, Google a confirmé que les 10 applications malveillantes avaient été supprimées de son Play Store
Check Point Research (CPR) a découvert un nouveau dropper, un programme malveillant conçu pour libérer d’autres logiciels malveillants sur le téléphone d’une victime, qui se propage sur le Google Play Store. Surnommé « Clast82 » par les chercheurs, le dropper active un logiciel malveillant de deuxième niveau qui donne au pirate un accès non autorisé aux comptes financiers des victimes, ainsi qu’un contrôle total de leurs téléphones portables. CPR a trouvé Clast82 dans 10 applications utilitaires, couvrant des fonctions telles que l’enregistrement d’écran ou le VPN.
Méthodologie de Clast82
Clast82 supprime le MaaS AlienBot Banker, un malware de deuxième niveau qui cible les applications financières en contournant les codes d’authentification à deux facteurs pour les services financiers. Parallèlement, Clast82 est équipé d’un cheval de Troie d’accès mobile à distance (MRAT) capable de contrôler le dispositif avec TeamViewer. Il permet au hacker de manipuler le téléphone comme s’il l’avait dans la main.
Voici comment les chercheurs de Check Point ont décrit la méthode d’attaque de Clast82 :
- La victime télécharge une application malveillante sur Google Play, contenant l’injecteur Clast82
- Clast82 communique avec le serveur C&C pour recevoir la configuration
- Clast82 télécharge la charge utile reçue par la configuration, et l’installe sur l’appareil Android – ici, AlienBot Banker
- Le hacker accède aux informations financières de la victime et a contrôle totalement son téléphone
Manipulation de ressources tierces pour échapper à la détection de Google
Clast82 utilise une série de techniques pour échapper à la détection de Google Play Protect. Plus précisément, Clast82 :
- Utilise Firebase (propriété de Google) comme plateforme de communication C&C. Pendant la période d’évaluation de Clast82 sur Google Play, le hacker s’est servi de Firebase pour modifier la configuration de la commande et du contrôle. Ensuite, il a « désactivé » le comportement malveillant de Clast82 pendant la période d’évaluation par Google.
- Utilise GitHub comme plateforme d’hébergement tierce pour télécharger la charge utile.Pour chaque application, l’acteur a créé un nouvel utilisateur développeur pour le Google Play Store, ainsi qu’un référentiel sur son compte GitHub, lui permettant ainsi de distribuer différentes charges utiles aux appareils qui ont été infectés par chaque application malveillante.
Les 10 applications utilitaires concernées
Le hacker a utilisé des applications open-source androïdes légitimes et connues. La liste des applications était la suivante :
| Nom | Nom_du_projet |
| Cake VPN | com.lazycoder.cakevpns |
| Pacific VPN | com.protectvpn.freeapp |
| eVPN | com.abcd.evpnfree |
| BeatPlayer | com.crrl.beatplayers |
| QR/Barcode Scanner MAX | com.bezrukd.qrcodebarcode |
| eVPN | com.abcd.evpnfree |
| Music Player | com.revosleap.samplemusicplayers |
| tooltipnatorlibrary | com.mistergrizzlys.docscanpro |
| QRecorder | com.record.callvoicerecorder |
Figure 1. Clast82 Malware on Google Play
Communication responsable
CPR a fait part de ses conclusions à Google le 28 janvier 2021. Le 9 février 2021, Google a confirmé que toutes les applications Clast82 avaient été retirées de Google Play Store.
Citation : Directeur de la recherche mobile à Check Point, Aviran Hazum :
« Le hacker derrière Clast82 a réussi à contourner les protections de Google Play en utilisant une méthodologie créative, mais inquiétante. Grâce à une simple manipulation de ressources tierces facilement disponibles (comme un compte GitHub ou un compte FireBase) le pirate a pu exploiter des ressources facilement disponibles pour contourner les protections de Google Play Store. Les victimes pensaient télécharger une application utilitaire inoffensive sur le marché officiel Android, mais ce qu’elles recevaient en réalité était un dangereux cheval de Troie attaquant directement leurs comptes financiers. La capacité du dropper à ne pas être détecté prouve à quel point il est important d’avoir une solution de sécurité mobile. Il ne suffit pas de scanner l’application pendant la période d’évaluation, car un acteur malveillant peut, et va modifier le comportement de l’application en utilisant des outils tiers facilement disponibles ».