Pesquisadores da empresa de segurança da informação Check Point Research encontraram dez aplicativos Android no armazenamento de conteúdo digital da Play Store que contêm o cavalo de Troia Clast82 dropper usado para distribuir o cavalo de Troia bancário AlienBot e o malware mRAT. De acordo com os dados disponíveis, todos os aplicativos maliciosos detectados já foram removidos da plataforma Google.
A fonte diz que o conta-gotas foi disfarçado de produtos legítimos para a plataforma de software Android por cibercriminosos. Todos os aplicativos problemáticos eram utilitários como Cake VPN, Pacific VPN, BeatPlayer, QR / Barcode Scanner MAX, QRecorder, etc. A funcionalidade dos utilitários foi retirada de aplicativos Android legítimos de código aberto pelos invasores.
É relatado que a atividade suspeita desses aplicativos não foi detectada pelas ferramentas de verificação padrão do Google, o serviço de nuvem Firebase foi usado para gerenciamento remoto de malware e trojans bancários foram baixados de repositórios no GitHub.
Observa-se também que o conta-gotas pode determinar de forma independente quando ativar funções maliciosas e quando não é necessário fazê-lo para não ser detectado. Os pesquisadores observam que funções normalmente maliciosas foram desativadas enquanto o aplicativo estava sendo testado e, após serem publicadas na Play Store, foram ativadas automaticamente. Com relação ao malware para download, o mRAT foi usado por cibercriminosos para obter acesso remoto a dispositivos infectados, enquanto o AlienBot permitiu que códigos maliciosos fossem injetados em aplicativos bancários legítimos instalados nos dispositivos das vítimas.