У Play Маркеті виявлені десять додатків, що використовувалися для поширення банківського трояна

Дослідники з компанії Check Point Research, що працює в сфері інформаційної безпеки, виявили в магазині цифрового контенту Play Маркет десять Android-додатків, що містять троян-дроппер Clast82, на якому Ви отримали банківського трояна AlienBot і шкідливий mRAT. Згідно з наявними даними, всі виявлені шкідливі програми вже вилучені з платформи Google.

Джерело каже про те, що дроппер маскувався зловмисниками під легітимні продукти для програмної платформи Android. Всі проблемні додатки представляли собою службові утиліти, такі як Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, QRecorder та ін. Функціональність утиліт була взята зловмисниками з легітимних Android-додатків з відкритим вихідним кодом.

Повідомляється про те, що підозріла активність згаданих додатків не виявляється стандартними засобами перевірки Google, для віддаленого управління використовувався хмарний сервіс Firebase, а завантаження банківських троянів здійснювалося з репозиторіїв на GitHub.

Також наголошується, що дроппер міг самостійно визначати, коли слід активувати шкідливі функції, а коли цього робити не потрібно, щоб не бути виявленим. Дослідники відзначають, що зазвичай шкідливі функції були деактивовані поки додаток проходив перевірки, а після публікації в Play Маркет вони автоматично включалися. mRAT використовувався зловмисниками для отримання віддаленого доступу до заражених пристроїв, тоді як AlienBot дозволяв здійснити впровадження шкідливого коду у встановлені на пристроях жертв легітимні банківські програми.