Троян проник с Google Play: 300+ тыс. пострадавших

30.11.2021 г

Иллюстрация: pixebay.com

Банковский троянский вирус Anatsa маскировался под вполне «мирные» приложения в официальном магазине приложений Google Play для устройств на Android.

Это раскрыли специалисты по кибербезопасности из ThreatFactor. Согласно их отчёту, приблизительно с августа по ноябрь вирус свободно скачивался сотнями тысяч (300 тыс., по предварительным оценкам) пользователей Google Play в нескольких странах под видом обычных приложений: для фитнеса, для сканирования pdf-файлов и QR-кодов (чаще всего, более 50 тыс. загрузок).

При этом примечательно, что заявленный для прикрытия функционал исправно работал: приложения-шпионы имеют массу положительных отзывов в Google Play.

Anatsa собирает данные для входа в системы интернет-банкинга, при этом сам вирус не присутствует в коде приложения. Схема кражи пользовательской банковской информации была организована следующим образом:

— после скачивания базовое приложение-прикрытие оценивает целесообразность установки вредоносного ПО;

— если на гаджете находилась нужная ему информация, то приложение запрашивало разрешение на обновление и установку неизвестных приложений;

— с обновлением на устройство пользователя попадал Anatsa, который уже и похищал данные.

За счёт такой схемы обходилась система защиты Google Play.

В России Anatsa чаще всего оказывался на устройствах пользователей через программу сканирования QR-кодов Free QR Сode Scanner от издателя QrBarBode LDC; а среди российских банков, чьи данные мог украсть Anatsa, названы «Почта-банк», «Сбер», «Тинькофф», «Уралсиб», ВТБ, и российские отделения «ОТП-банка»и «Райффайзена».

Рекомендуем почитать