Check Point Research kertoo havainneensa erittäin vaarallisen dropper-tyyppisen haittaohjelman eräissä Play Storen kautta jaetuissa mobiilisovelluksissa. Sovellukset on siivottu pois sovelluskaupasta sen jälkeen, kun Check Point raportoi asiasta Googlelle.

Clast82-nimen saanut sovellus on niin sanottu dropper-haitake, se korvaa puhelimeen asennettujen sovellusten asiallista koodia haitallisella ikävin seurauksin. Kohteena ovat etenkin erilaiset rahaliikenteeseen liittyvät sovellukset. Hyökkääjä voi saada puhelimen täydellisesti haltuunsa ja käyttää sitä kuin laite olisi hänen omissa käsissä.

Rikolliset olivat onnistuneet peittämään jälkensä tehokkaasti, joten Play Storen suojausmekanismit eivät havainneet haittaohjelmaa lainkaan. Koska Clast82 hakee varsinaisen haittakoodin vasta uhrin puhelimelle päästyään, hälytyskellot eivät kilise missään vaiheessa. Uhri voisi havaita hämäräpuuhat ylimääräisestä verkkoliikenteestä, mutta kukapa sellaisia huomaisi ainakaan ilman tehokasta tietoturvaohjelmistoa.

Clast82 on levinnyt ainakin näiden sovellusten mukana (suluissa jakelupaketin nimi):

  • Cake VPN (com.lazycoder.cakevpns)
  • Pacific VPN (com.protectvpn.freeapp)
  • eVPN (com.abcd.evpnfree)
  • BeatPlayer (com.crrl.beatplayers)
  • BeatPlayer (com.crrl.beatplayers)
  • QR/Barcode Scanner MAX (com.bezrukd.qrcodebarcode)
  • eVPN (com.abcd.evpnfree)
  • Music Player (com.revosleap.samplemusicplayers)
  • tooltipnatorlibrary (com.mistergrizzlys.docscanpro)
  • QRecorder (com.record.callvoicerecorder)