Эксперты Trend Micro нашли в Google Play два вредоносных приложения, воровавших средства пользователей: Currency Converter и BatterySaverMobi. Специалисты связывают пейлоад малвари с банковским трояном Anubis, в силу сходства исходных кодов и использования тех же управляющих серверов, что уже попадали в поле зрения экспертов ранее.
Оба приложения имели хороший рейтинг (4,5 звезд) и немало положительных отзывов, часть из которых, очевидно, были фальшивыми. При этом вредоносные приложения были загружены более 5000 раз.
Однако отличительной чертой данной кампании являлось то, как операторы малвари решили скрывать своего вредоноса от обнаружения. Чтобы убедиться, что они работают не в песочнице и имеют дело не эмулятором, приложения обращались к сенсорам движения устройства. Если устройство действительно двигалось в пространстве, малварь убеждалась, что оно настоящее и можно продолжать работу. В противном случае банкер прекращал всякую активность.
Как и многие другие банковские вредоносы, Anubis пытается получить права администратора на устройстве обманом. Для этого приложения демонстрировали жертвам фальшивое сообщение о необходимости обновления ПО.
Затем малварь связывалась с управляющим сервером, посредством Twitter или Telegram, и запрашивала дальнейшие инструкции с помощью запросов HTTP POST. В ответ вредонос получал APK для скачивания, который дроппер устанавливал на зараженное устройство.
Проникнув в систему, Anubis начинал собирать банковскую информацию жертвы, используя для этого встроенный кейлоггер или делая снимки экрана, когда пользователь взаимодействовал с банковскими и финансовыми приложениями. По данным исследователей, троян атаковал 377 различных банков и приложений из 93 стран мира, а также приложения Amazon, eBay и PayPal.
Напомню, что еще в прошлом году специалисты Sophos выяснили, что помимо функциональности банкера Anubis имеет и другие возможности: малварь может работать как троян удаленного доступа (запись аудио, отслеживание местоположения), как шифровальщик, может рассылать SMS-спам и подписывать своих жертв на платные сервисы.
В настоящее время оба приложения, распространявшие Anubis, уже были удалены из каталога Google Play.