Útočník využíval snadno dostupné zdroje třetích stran, Firebase a GitHub, aby se hrozba vyhnula odhalení pomocí bezpečnostních mechanismů Google Play.
V 9 aplikacích na Google Play byla objevena nová hrozba. Dropper Clast82 je škodlivý program, který do telefonu obětí dokáže nainstalovat další malware, a navíc se umí vyhnout bezpečnostním mechanismům Google Play. Hackeři s pomocí dropperu Clast82 získali přístup k finančním účtům obětí i kontrolu nad jejich mobilními telefony. Na problém upozornil Check Point Research.
Clast82 nainstaluje do mobilního zařízení malware jako službu AlienBot Banker, který cílí na finanční aplikace a dokáže obejít i zabezpečení pomocí dvoufaktorových autentizačních kódů. Clast82 současně obsahuje i mobilní trojan pro vzdálený přístup, takže hacker může ovládat zařízení pomocí aplikace TeamViewer, jako by telefon oběti držel přímo v ruce.
Kyberzločinci využívali řadu technik, aby se Clast82 vyhnul detekci bezpečnostními mechanismy Google Play. Pro komunikaci s řídícím (C&C) serverem je využívána platforma Firebase vlastněná Googlem. Když Google Play testuje a hodnotí aplikace, útočník změní konfiguraci C&C serveru pomocí Firebase. V kritickou chvíli „zakáže“ škodlivé chování Clast82, aby aplikace nevyvolala podezření. Jako hostitelská platforma pro stahování škodlivého obsahu je používán GitHub. Útočník tak může distribuovat další škodlivý obsah na všechna zařízení infikovaná jednotlivými škodlivými aplikacemi.
Infikované aplikace (balíčky)
Cake VPN com.lazycoder.cakevpns
Pacific VPN com.protectvpn.freeapp
eVPN com.abcd.evpnfree
BeatPlayer com.crrl.beatplayers
QR/Barcode Scanner MAX com.bezrukd.qrcodebarcode
eVPN com.abcd.evpnfree
Music Player com.revosleap.samplemusicplayers
tooltipnatorlibrary com.mistergrizzlys.docscanpro
QRecorder com.record.callvoicerecorder
Google již potvrdil, že všechny aplikace infikované dropperem Clast82 byly z Google Play odstraněny.