Эксперты по кибербезопасности из Check Point Research сообщили об обнаружении в Google Play десяти приложений с новым опасным дроппером — трояном для доставки вредоносного ПО на смартфон жертвы.
Вот эти приложения: QR/Barcode Scanner MAX, Music Player, tooltipnatorlibrary, QRecorder и BeatPlayer. Последние два встречались дважды.
Через эти приложения злоумышленники на первом этапе могли внедрить вредоносный код в финансовые приложения на устройстве, а после получить доступ к учётным записям и полный контроль над устройством. Обычно дроппер, получивший название Clast82, устанавливал на смартфон банковский троян AlienBot Banker, который позволял перехватывать коды для двухфакторной аутентификации некоторых банковских приложений.
При этом Clast82 использовал ряд методов, позволяющих избежать обнаружения системой защиты Google Play Protect, поэтому приложения могли находиться в свободном доступе достаточно долго, привлекая новых пользователей галочкой о проверке на вирусы.
Эксперты обнаружили, что автор всех этих программ создал отдельного пользователя-разработчика под каждое приложение, однако в качестве почты для связи везде использовался один и тот же адрес sbarkas77590@gmail.com. Кроме того, ссылка на страницу с политикой конфиденциальности тоже вела на один и тот же репозиторий, принадлежащий одному субъекту.
28 января 2021 года Check Point Research сообщила об угрозе Google, а уже 9 февраля все приложения с Clast82 были удалены из магазина Google Play. Если какие-то из них до сих пор установлены у вас, то мы настоятельно рекомендуем их удалить.
