Google Play удалил 77 вредоносных приложений для Android, которые успели набрать свыше 19 млн установок. Обнаружение угрозы стало результатом работы специалистов исследовательской группы Zscaler ThreatLabs, выявивших новую волну заражений, связанных с банковским трояном Anatsa, также известным как Tea Bot.
Как передает Oxu.Az, об этом сообщает издание Bleeping Computer (BC).
Анализ показал, что более 66% вредоносных приложений содержали компоненты рекламного ПО (adware). Однако наиболее распространенным типом вредоносного ПО оказался троян Joker, обнаруженный почти в 25% проверенных приложений. Как сообщает издание BleepingComputer, после установки Joker получает доступ к чтению и отправке SMS, может делать скриншоты, совершать звонки, копировать списки контактов, собирать данные об устройстве и автоматически подключать платные подписки. Перечисленные свойства позволяют Joker, в том числе, красть деньги с банковских счетов жертв.
Часть удаленных приложений относилась к категории maskware - вредоносов, маскирующихся под легитимные программы. Они внешне функционируют как заявлено, но в фоновом режиме похищают учетные данные, банковскую информацию, данные о местоположении и SMS, а также могут загружать дополнительные вредоносные модули.
Исследователи Zscaler также обнаружили вариант трояна Joker под названием Harly. В отличие от классического Joker, Harly хранит вредоносный код внутри APK в зашифрованном виде (например, в ресурсах или нативной библиотеке), что позволяет обходить проверку Google Play. Согласно отчету компании Human Security, Harly маскируется под популярные приложения - игры, обои, фонарики и редакторы фото - и уже успел проникнуть в магазин с десятками подобных загрузок.
Последняя версия трояна Anatsa, которая инициировала данное расследование, значительно расширила список целевых приложений. Теперь она атакует 831 банковское и криптовалютное приложение, тогда как ранее их число составляло 650. Злоумышленники активно использовали приложение Document Reader - File Manager в качестве приманки: после установки оно загружало вредоносный модуль Anatsa, успешно обходя проверку кода.
Для маскировки Anatsa применяет изощренные методы, включая битые APK-архивы, нарушающие статический анализ, шифрование строк на основе DES в режиме выполнения, обнаружение эмуляторов и регулярную смену имён пакетов и хешей. Троян злоупотребляет разрешениями службы доступности (Accessibility Service), автоматически предоставляя себе расширенные привилегии, загружает фишинговые формы со своего сервера для более чем 831 сервиса (включая приложения из Германии и Южной Кореи) и оснащён модулем кейлоггера для сбора произвольных данных.
