Исследователи безопасности обнаружили дроппер, спрятанный в 10 приложениях из Google Play. Они могли предоставить удаленный доступ хакерам или содержать банковскую малварь.
Эксперты Check Point обнаружили дроппер Clast82 внутри нескольких приложений из Google Play, среди которых музыкальные плееры, VPN и QR-сканеры.
Clast82 «сбрасывает» MaaS (Malware-as-a-Service) AlienBot Banker, которая обходит двухфакторную аутентификацию на банковских приложениях и передает хакерам доступ к пользовательским аккаунтам. Она также может загружать троян удаленного доступа (MRAT), который контролирует телефон пользователя через TeamViewer.
Малварь также создана, чтобы обходить Google Play Protect двумя способами. Первый способ: использовать Google Firebase для контроля и управления. Хакер отключал вредоносное поведение дроппера, пока Google анализировала программу. Второй способ: он скачивал полезную нагрузку с GitHub, создавал нового разработчика в Google Play для каждого приложения, а также репозиторий в аккаунте на GitHub. Это позволяло хакеру распределять полезные нагрузки на устройства, зараженные каждой вредоносной версией приложения.
Специалисты из Check Point сообщили об инциденте Google 28 января 2021 года. На 9 февраля все вредоносные приложения были удалены из Google Play.
