Аналитики Zscaler предупредили, что банковский троян Anatsa снова проник в магазин Google Play. Суммарно исследователи нашли более 90 вредоносных приложений, которые установили свыше 5,5 млн раз. Помимо Anatsa эти приложения распространяли и другое вредоносное и рекламное ПО.
Банкер Anatsa (он же Teabot) представляет собой троян, нацеленный более чем на 650 приложений финансовых организаций в Европе, США, Великобритании и Азии. Вредонос ворует учетные данные пользователей от онлайн-банков для последующего проведения мошеннических операций.
Напомним, что в феврале 2024 года специалисты Threat Fabric сообщали, что с конца 2023 года года Anatsa заразил не менее 150 000 пользователей через Google Play, используя разные приложения-дропперы, созданные специально для попадания в топ категории Top New Free в Google Play.
Теперь Zscaler пишет, что Anatsa снова проник в официальный магазин для Android, но теперь банкер распространялся всего через два приложения: PDF Reader & File Manager и QR Reader & File Manager. На момент проведения анализа эти приложения уже набрали более 70 000 установок. В настоящее время оба дроппера удалены, а представители Google заявили, что учетные записи их разработчиков были заблокированы.
Исследователи говорят, что дропперы Anatsa продолжают попадать в Google Play благодаря многоступенчатому механизму получения полезной нагрузки, состоящему из четырех отдельных этапов:
-
- приложение-дроппер получает конфигурацию и нужные строки с управляющего сервера;
- DEX-файл, содержащий вредоносный код дроппера, загружается и активируется на устройстве;
- скачивается конфигурационный файл с URL-адресом полезной нагрузки Anatsa;
- DEX-файл находит и устанавливает полезную нагрузку (APK), завершая заражение устройства.
Также упомянутый DEX-файл выполняет проверки, чтобы исключить возможность выполнения малвари в песочнице или эмуляторе.
После запуска на новом зараженном устройстве Anatsa передает своим операторам конфигурацию и результаты сканирования по поиску приложений, а затем скачивает инжекты, соответствующие местоположению и профилю жертвы.
Кроме того, специалисты Zscaler отметили, что за последние несколько месяцев они обнаружили в Google Play более 90 вредоносных приложений, которые суммарно установили свыше 5,5 млн раз.
Большинство из них выдавали себя за полезные инструменты, приложения для персонализации устройства, утилиты для фотографии, утилиты для повышения производительности, а также приложения для здоровья и фитнеса.
В основном в Google Play превалируют пять семейств малвари: Joker, Facestealer, Anatsa, Coper и различные рекламные вредоносы.
Хотя Anatsa и Coper это лишь 3% от общего числа вредоносных приложений в Google Play, отмечается, что они гораздо опаснее остальных, так как способны совершать мошенничество непосредственно на устройстве и похищать конфиденциальную информацию.
