Исследователи из компании Check Point Research, работающей в сфере информационной безопасности, обнаружили в магазине цифрового контента Play Маркет десять Android-приложений, содержащих троян-дроппер Clast82, используемый для распространения банковского трояна AlienBot и вредоноса mRAT. Согласно имеющимся данным, все выявленные вредоносные приложения уже удалены с платформы Google.
Источник говорит о том, что дроппер маскировался злоумышленниками под легитимные продукты для программной платформы Android. Все проблемные приложения представляли собой служебные утилиты, такие как Cake VPN, Pacific VPN, BeatPlayer, QR/Barcode Scanner MAX, QRecorder и др. Функциональность утилит была взята злоумышленниками из легитимных Android-приложений с открытым исходным кодом.
Сообщается о том, что подозрительная активность упомянутых приложений не обнаруживалась стандартными средствами проверки Google, для удалённого управления вредоносами использовался облачный сервис Firebase, а загрузка банковских троянов осуществлялась из репозиториев на GitHub.
Также отмечается, что дроппер мог самостоятельно определять, когда следует активировать вредоносные функции, а когда этого делать не нужно, чтобы не быть обнаруженным. Исследователи отмечают, что обычно вредоносные функции были деактивированы пока приложение проходило проверки, а после публикации в Play Маркет они автоматически включались.
Что касается загружаемых вредоносов, то mRAT использовался злоумышленниками для получения удалённого доступа к заражённым устройствам, тогда как AlienBot позволял осуществить внедрение вредоносного кода в установленные на устройствах жертв легитимные банковские приложения.