Иллюстрация: pixebay.com
Банковский троянский вирус Anatsa маскировался под вполне «мирные» приложения в официальном магазине приложений Google Play для устройств на Android.
Это раскрыли специалисты по кибербезопасности из ThreatFactor. Согласно их отчёту, приблизительно с августа по ноябрь вирус свободно скачивался сотнями тысяч (300 тыс., по предварительным оценкам) пользователей Google Play в нескольких странах под видом обычных приложений: для фитнеса, для сканирования pdf-файлов и QR-кодов (чаще всего, более 50 тыс. загрузок).
При этом примечательно, что заявленный для прикрытия функционал исправно работал: приложения-шпионы имеют массу положительных отзывов в Google Play.
Anatsa собирает данные для входа в системы интернет-банкинга, при этом сам вирус не присутствует в коде приложения. Схема кражи пользовательской банковской информации была организована следующим образом:
— после скачивания базовое приложение-прикрытие оценивает целесообразность установки вредоносного ПО;
— если на гаджете находилась нужная ему информация, то приложение запрашивало разрешение на обновление и установку неизвестных приложений;
— с обновлением на устройство пользователя попадал Anatsa, который уже и похищал данные.
За счёт такой схемы обходилась система защиты Google Play.
В России Anatsa чаще всего оказывался на устройствах пользователей через программу сканирования QR-кодов Free QR Сode Scanner от издателя QrBarBode LDC; а среди российских банков, чьи данные мог украсть Anatsa, названы «Почта-банк», «Сбер», «Тинькофф», «Уралсиб», ВТБ, и российские отделения «ОТП-банка»и «Райффайзена».