Банковский троян Anatsa проник в Google Play под видом читалки документов

Приложение использует методы социальной инженерии, имитируя функционал настоящих инструментов для работы с документами. При этом в фоновом режиме оно развёртывает на устройстве сложное вредоносное ПО Anatsa, специализирующееся на краже банковских данных. Этот многоэтапный подход позволяет злоумышленникам обходить системы безопасности Google Play и получать доступ к широкой аудитории до момента обнаружения угрозы.

Исследователи отмечают, что скомпрометированное приложение применяет сложные методы обфускации (запутывания кода), чтобы скрыть свой вредоносный полезный груз (payload) как от автоматических сканеров безопасности, так и при ручном анализе. Механизм дроппера устроен так, чтобы после первоначальной установки загружать дополнительные компоненты вредоносного ПО. Это даёт киберпреступникам гибкость в адаптации своей инфраструктуры для обхода новых защитных мер.

Троянец Anatsa активен с 2019 года и известен целенаправленными атаками на финансовые учреждения в Европе, на Ближнем Востоке и в некоторых частях Азии. Он обладает широким арсеналом возможностей. В частности, зловред использует атаки с оверлеем (наложением фишинговых окон), может автоматически подтверждать мошеннические транзакции и перехватывать SMS-сообщения. Кроме того, он способен следить за действиями пользователя и выполнять несанкционированные операции с банковскими счетами.

Обнаружение этой угрозы в Google Play - знаковый инцидент, поскольку официальный магазин приложений считается основным доверенным каналом дистрибуции. Тот факт, что приложение набрало десятки тысяч загрузок до обнаружения, указывает на успешный обход как процессов проверки безопасности Google, так и инфраструктурной защиты на уровне платформы. Этот случай в очередной раз подчёркивает постоянные сложности в поддержании безопасности крупных площадок для распространения софта.

Пользователям, которые установили это приложение-читалку из Google Play, настоятельно рекомендуется немедленно его удалить. Владельцам устройств также следует провести полную проверку с помощью надёжного мобильного антивирусного решения для поиска и удаления любых потенциально установленных вредоносных компонентов. Кроме того, необходимо внимательно отслеживать свои банковские счета на предмет несанкционированных операций и немедленно связываться с финансовой организацией при обнаружении подозрительной активности.

По данным исследователей, команда безопасности Google была уведомлена о вредоносном приложении и уже удалила его из Play Store. Компания также приняла меры по отзыву сертификатов, связанных с учётной записью злоумышленников. Тем не менее, инцидент высвечивает необходимость усиления процессов проверки и внедрения более совершенных систем обнаружения на основе машинного обучения для выявления сложного замаскированного вредоносного ПО ещё на этапе публикации приложения.

Эксперты по безопасности рекомендуют пользователям Android применять многоуровневый подход к защите. Он включает в себя своевременное обновление операционной системы, установку приложений исключительно из официальных источников, использование проверенного защитного ПО и регулярный мониторинг активности на счетах. Также следует с осторожностью предоставлять приложениям избыточные разрешения и периодически пересматривать список выданных прав в настройках устройства.

Обнаружение дроппера Anatsa в Google Play служит важным напоминанием о том, что даже официальные магазины приложений сталкиваются с постоянными угрозами со стороны продвинутых киберпреступников. Как организациям, так и частным пользователям необходимо сохранять бдительность и поддерживать свою цифровую гигиену на высоком уровне для противодействия эволюционирующим банковским троянцам.

URLs

• http://162.252.173.37:85/api/
• http://193.24.123.18:85/api/
• https://stellargridinv.com/

MD5

• 1991f5d0c88d8c7c68f6a6d27efa60d6
• 7f131404a331ae10fdc76bfe5908575d