В Google Play обнаружено более 90 вредоносных приложений для Android

По данным BGR , эти вредоносные приложения созданы на основе вредоносного ПО Anatsa (также известного как TeaBot) — особо опасного банковского вредоносного ПО, которое выглядит безвредным при первой установке, но затем загружает вредоносный код или серверы управления (C2), замаскированные под обновления приложений. Это позволяет вредоносному ПО избегать обнаружения в магазинах приложений для Android.

Другими словами, эти приложения изначально не являются вредоносными. Они обманывают пользователей, создавая впечатление, что они в безопасности, прежде чем те начнут загружать вредоносный контент, замаскированный под легальное обновление приложения. После того, как вредоносная программа успешно заражает устройство и начинает взаимодействовать с командным сервером, она сканирует устройство пользователя на наличие установленных банковских приложений.

Если он находит какую-либо информацию, он отправляет её на сервер C2, который затем отправляет обратно поддельную страницу входа для обнаруженных приложений. Если пользователь попадается на эту уловку и вводит свои учётные данные, информация отправляется обратно на сервер, который хакер может использовать для входа в банковское приложение жертвы и кражи её денег.

Zscaler обнаружил два приложения, заражённых Anatsa: PDF Reader & File Manager и QR Reader & File Manager. Исследователи отмечают, что Anatsa в первую очередь атакует приложения финансовых учреждений Великобритании, но жертвы также были обнаружены в США, Германии, Испании, Финляндии, Южной Корее и Сингапуре. Тем не менее, эксперты советуют пользователям быть осторожнее, независимо от места проживания.

Хотя исследователи не раскрыли имена заражённых приложений Android в магазине Google Play, оба приложения, упомянутые в примере выше, больше не доступны. Возможно, Zscaler оповестил Google о других приложениях.