В Google Play нашли десятки приложений, которые крадут деньги

Из Google Play удалил 77 вредоносных приложений для Android, которые успели набрать свыше 19 миллионов установок. Обнаружение угрозы стало результатом работы специалистов исследовательской группы Zscaler ThreatLabs, выявивших новую волну заражений, связанных с банковским трояном Anatsa, также известным как Tea Bot. Об этом сообщает издание Bleeping Computer (BC), передает Day.Az со ссылкой на Gazeta.ru.

Анализ показал, что более 66% вредоносных приложений содержали компоненты рекламного ПО (adware). Однако наиболее распространенным типом вредоносного ПО оказался троян Joker, обнаруженный почти в 25% проверенных приложений. Как сообщает издание BleepingComputer, после установки Joker получает доступ к чтению и отправке SMS, может делать скриншоты, совершать звонки, копировать списки контактов, собирать данные об устройстве и автоматически подключать платные подписки. Перечисленные свойства позволяют Joker в том числе красть деньги с банковских счетов жертв.

Часть удаленных приложений относилась к категории maskware - вредоносов, маскирующихся под легитимные программы. Они внешне функционируют как заявлено, но в фоновом режиме похищают учетные данные, банковскую информацию, данные о местоположении и SMS, а также могут загружать дополнительные вредоносные модули.

Исследователи Zscaler также обнаружили вариант трояна Joker под названием Harly. В отличие от классического Joker, Harly хранит вредоносный код внутри APK в зашифрованном виде (например, в ресурсах или нативной библиотеке), что позволяет обходить проверку Google Play. Согласно отчету компании Human Security, Harly маскируется под популярные приложения - игры, обои, фонарики и редакторы фото - и уже успел проникнуть в магазин с десятками подобных загрузок.

Последняя версия трояна Anatsa, которая инициировала данное расследование, значительно расширила список целевых приложений. Теперь она атакует 831 банковское и криптовалютное приложение, тогда как ранее их число составляло 650. Злоумышленники активно использовали приложение "Document Reader - File Manager" в качестве приманки: после установки оно загружало вредоносный модуль Anatsa, успешно обходя проверку кода.

Для маскировки Anatsa применяет изощренные методы, включая битые APK-архивы, нарушающие статический анализ, шифрование строк на основе DES в режиме выполнения, обнаружение эмуляторов и регулярную смену имён пакетов и хешей. Троян злоупотребляет разрешениями службы доступности (Accessibility Service), автоматически предоставляя себе расширенные привилегии, загружает фишинговые формы со своего сервера для более чем 831 сервиса (включая приложения из Германии и Южной Кореи) и оснащён модулем кейлоггера для сбора произвольных данных.