Около 100 приложений из Google Play распространяют вредоносное ПО

По мнению экспертов по безопасности, десятки зараженных вредоносным ПО приложений превратили магазин Google Play буквально в минное поле. Приложения, которые на первый взгляд кажутся совершенно обыденными программами, были скачаны в общей сложности более 5,5 миллионов раз и позволили злоумышленникам получить доступ к банковским учетным данным пользователей Android и другим конфиденциальным данным.

Исследователи из компании Zscaler, занимающейся облачной безопасностью, говорят, что приложения все чаще скрывают Anatsa, трояна, также известного как TeaBot.

Под видом приложений для повышения производительности, включая файловые менеджеры, переводчики и считыватели QR-кодов, троянец проникает на мобильные устройства ничего не подозревающих пользователей, а затем загружает вредоносный код под видом обновления программного обеспечения.

Эти данные проверяют среду устройства и извлекают комплект пакетов Android Anatsa (APK) с удаленного сервера. После загрузки APK шлюзы открываются, и Anatsa запрашивает разрешения на использование различных функций устройства. Эти разрешения используются для проверки устройства жертвы на соответствие списку потенциальных целей, связанных с банковской деятельностью.

Если есть совпадение, Anatsa предоставит фальшивую страницу входа при следующем запуске этой цели. Например, если какой-либо Банк находится в списке целей, а на телефоне жертвы установлено банковское приложение, при следующем открытии этого приложения пользователь увидит поддельную страницу входа. Эта страница крадет учетные данные жертвы и возвращает их злоумышленникам Anatsa.

Поскольку файлы Anatsa не скрыты внутри самих приложений, а скачиваются позже (метод дроппера) приложения можно рекламировать и распространять через магазин Google Play, что обеспечивает больше загрузок, чем сторонний веб-сайт или магазин приложений.

Такое большее количество загрузок закрепляет петлю положительной обратной связи: поскольку пользователи часто связывают популярность с надежным программным обеспечением, они с большей вероятностью загрузят приложение, получившее десятки тысяч загрузок. Действительно, исследователи из Zscaler обнаружили, что каждое приложение, скрывающее Anatsa, имеет около 70 000 установок.

Хотя Anatsa является самым быстрорастущим вредоносным ПО, нацеленным на пользователей Android, по сообщениям, на него приходится лишь 2,1% атак. Вирусы Joker и Facestealer, которые используются для получения доступа к учетным записям жертв в социальных сетях, SMS-сообщениям и т. д., составляют более половины атак, продвигаемых через магазин Google Play. Эти уязвимости чаще всего передаются через «инструментальные» приложения, такие как сканирования QR-кодов и программы для чтения PDF-файлов, а также приложения для фотографий и персонализации.