9 приложений для Android из Google Play Store оказались вирусными и были удалены

Аналитики из Check Point пришли к выводу, что новый дроппер Clast82 не обнаруживается стандартной Google Play Protect за счёт изменения полезной нагрузки. Мошенники успешно заразили такие приложения, как Music Player, eVPN, tooltipnatorlibrary и QRecorder. 28 января эти и другие вредоносные программы были удалены администрацией из Play Store. 

Хакеры применяют все более изощрённые методы обхода проверочной системы магазина – используют шифрование, скрывают строки, создают фейковые копии популярных приложений, запускают агрессивные рекламные кампании, добавляют вредоносный код к уже установленному на устройства софту через обновления. 

Clast82 базируется на Firebase, для загрузки использует GitHub и обладает открытым исходным кодом, что, в принципе, вполне обычно для подобного ПО. 

Разумеется, многие пользователи отключают функцию загрузки приложений из неизвестных источников. В таком случае, вирус будет раз в пять секунд выводить запрос якобы от сервиса Google Play, предлагая активировать вышеуказанную функцию, чтобы после запустить загрузку вредоносного ПО AlienBot или MaaS.

Хакеры также не прошли мимо скачанного более 10 миллионов раз приложения, предназначенного для скачивания штрих-кодов. Мошенники заразили приложение как раз после выпуска очередного обновления, совпавшего со сменой владельца программы.