В магазине Google Play были удалены 77 вредоносных приложений, которые суммарно установили более 19 миллионов раз. Угрозу выявили специалисты исследовательской группы Zscaler ThreatLabs при анализе новой волны заражений, связанной с банковским трояном Anatsa (Tea Bot). Об этом пишет издание BleepingComputer.
По данным исследования, свыше 66 % обнаруженных приложений содержали рекламное ПО. Чаще всего встречался троян Joker — он был выявлен почти в четверти приложений. После установки Joker получает доступ к SMS, может делать скриншоты, совершать звонки, копировать контакты, собирать сведения об устройстве и оформлять платные подписки.
Часть вредоносов оказалась maskware — программами, которые выглядят как обычные приложения, но в фоновом режиме похищают банковские данные, SMS и информацию о местоположении.
Также был найден вариант трояна Joker под названием Harly. В отличие от классического Joker, он хранит вредоносный код внутри APK в зашифрованном виде, что позволяет обходить проверку Google Play. По данным Human Security, Harly маскируется под игры, фонарики, обои и фоторедакторы.
Последняя версия трояна Anatsa расширила список целевых приложений: теперь он атакует 831 банковское и криптовалютное приложение, тогда как ранее их число составляло 650. Для распространения злоумышленники использовали приложение Document Reader – File Manager, которое загружало вредоносный модуль, обходя проверку.
Для маскировки Anatsa применяет зашифрованные строки, поддельные APK и смену имён пакетов. Троян использует сервис доступности Android для получения расширенных привилегий и способен загружать фишинговые формы для сотен приложений, а также собирать данные с помощью кейлоггера.
Исследователь Zscaler Химаншу Шарма отметил рост числа приложений с рекламным ПО в Google Play, тогда как количество других вредоносов, например Facestealer и Coper, снизилось.
