Талья Роу
Исследователи кибербезопасности из Zscaler бьют тревогу: через официальный магазин приложений Google Play распространялись десятки вредоносных программ, которые суммарно скачали более 19 миллионов раз. В центре скандала — изощрённый банковский троян Anatsa, который целенаправленно охотится за данными клиентов банков и криптобирж.
Содержание
Маскировка под безобидные утилиты
Лаборатория угроз ThreatLabz компании Zscaler идентифицировала и сообщила о 77 приложениях-вирусах, которые искусно маскировались под полезные утилиты и инструменты персонализации. Вместо заявленного функционала они несли в себе обновлённую, более опасную версию банковского трояна Anatsa.
Это вредоносное ПО, впервые обнаруженное в 2020 году, получило значительные усовершенствования. Теперь в его арсенале — кейлоггер для перехвата вводимых паролей, инструменты для перехвата SMS-сообщений и сложные механизмы защиты от обнаружения. По данным экспертов, атака нацелена на клиентов 831 финансового учреждения по всему миру.
Искусство невидимости: почему вирус не заметили
Главная особенность новой версии Anatsa — её почти идеальная скрытность. Троян использует сложную систему маскировки:
- Динамическая загрузка: Основная вредоносная нагрузка скрыта в JSON-файле, который динамически подгружается уже после установки приложения и сразу удаляется, не оставляя следов.
- Хитрый архив: APK-файл использует намеренно повреждённый архив с нестандартными флагами сжатия. Это ломает алгоритмы статического анализа, которые используют стандартные библиотеки Java для проверки ZIP-файлов.
- Обфускация кода: Каждый новый фрагмент кода загружается с уникальным ключом шифрования (DES), а само приложение постоянно меняет имя, чтобы усложнить жизнь антивирусным сканерам.
«Это яркий пример того, как злоумышленники постоянно адаптируются и находят новые способы обхода даже самых строгих проверок», — комментируют исследователи Zscaler.
По теме: Новая схема мошенничества под видом уведомления от «Госуслуг»
Как происходило заражение?
Важно отметить, что для активации вредоносных функций трояну требуются повышенные разрешения. Мошенники добивались этого, пряча свои требования в интерфейсе легитимных на вид приложений, что вводило пользователей в заблуждение. Очевидно, этот трюк сработал миллионы раз.
Joker и Anatsa: кто главный враг в Google Play?
Хотя Anatsa чрезвычайно опасен, «титул» самого распространённого вредоносного ПО в экосистеме Google по-прежнему удерживает Joker. Этот троян, специализирующийся на подписках premium-услуг и сборе учётных данных через SMS, ответственен за каждое четвёртое заражение, обнаруженное Zscaler.
Ответ Google и позиция Apple
Google заявил, что выявил уязвимости и принял меры по нейтрализации угрозы ещё до публикации отчёта Zscaler. Однако в компании не стали уточнять, помогло ли им своевременное ответственное раскрытие информации от исследователей.
Принято считать, что магазин приложений Apple более безопасен благодаря жёсткой модерации, но и он не является неуязвимой крепостью. В апреле того же года «Лаборатория Касперского» обнаружила в App Store вредоносное ПО ComeCome, нацеленное на кражи криптокошельков.
Выводы: что это значит для пользователей?
Данный инцидент ставит серьёзные вопросы о эффективности процедур безопасности в Google Play. История с Anatsa показывает, что даже официальные магазины приложений не гарантируют 100% защиту.
Как обезопасить себя:
- Внимательно изучайте разрешения: Не предоставляйте приложению права, не соответствующие его функциям (например, доступ к доступности для мессенджера).
- Проверяйте отзывы и разработчика: Смотрите на количество скачиваний, читайте отзывы (особенно негативные) и изучайте другие приложения разработчика.
- Установите антивирус: Надёжное мобильное решение безопасности может стать последним рубежом обороны.
- Будьте в курсе: Следите за новостями о киберугрозах и о самых громких случаях мошенничества.
Остаётся надеяться, что подобные расследования заставят вендоров ужесточить проверки и сделать цифровую среду безопаснее для всех.
Источник: theregister.com
