Аналитики из «Лаборатории Касперского» обнаружили в магазине Google Play очередное приложение с банковским трояном Anatsa. Вредонос маскировался под популярное приложение для чтения PDF-файлов, и к моменту удаления успел набрать более 10 000 загрузок.
По состоянию на 21 апреля зараженное приложение заняло 185 место по скачиваемости в категории «Инструменты» в российском сегменте магазина.
Исследователи пишут, что приложение действительно позволяло работать с PDF-файлами и выполняло все заявленные в описании функции. Однако внутри скрывался дроппер, который после установки загружал на устройство жертвы дополнительный APK с трояном Anatsa.
Получив расширенные права на устройстве, малварь пыталась перехватывать конфиденциальные данные, включая банковские учетные записи.
Банкер Anatsa хорошо знаком ИБ-специалистам и регулярно обнаруживается в официальных магазинах приложений. Злоумышленники каждый раз используют одну и ту же схему: публикуют легитимное приложение, проходят модерацию, а вредоносные функции добавляют уже позднее, через обновления. Это позволяет обходить проверки и дольше оставаться незамеченными.
«Этот кейс показывает, что даже загрузка приложений из официальных сторов не гарантирует полной безопасности, поэтому важно внимательно относиться к обновлениям, проверять запрашиваемые разрешения и учитывать поведение приложения», — комментирует Дмитрий Калинин, ИБ-эксперт «Лаборатории Касперского».
