В официальном магазине Google Play обнаружили вредоносное приложение, маскировавшееся под программу для чтения документов. Установка этой программы привела к заражению смартфонов банковским трояном Anatsa (известным также под именем TeaBot), который способен похищать финансовые данные и пароли от банковских приложений. Инцидент затронул более десяти тысяч пользователей и вновь поднимает вопрос о том, насколько безопасны даже проверенные площадки распространения софта.
Описание
Как маскировалась угроза
Злоумышленники выложили приложение в Google Play под видом обычной утилиты для открытия текстовых файлов и PDF. Такие программы миллионы людей устанавливают ежедневно, не задумываясь о возможной угрозе. Атака использовала доверие, которое пользователи испытывают к официальному магазину: приложение прошло базовую проверку и не вызывало подозрений. К моменту, когда Google удалил вредоносную программу, она успела набрать более десяти тысяч установок, что говорит о значительном времени её доступности.
Специалисты исследовательского подразделения компании Zscaler - ThreatLabz - обнаружили эту программу в рамках активной кампании по распространению Anatsa. Сам троян хорошо известен в среде информационной безопасности: он ориентирован на кражу учетных данных от финансовых сервисов и перехват одноразовых паролей.
Механизм заражения: вредоносная программа не спешит
После установки приложение не проявляло вредоносной активности сразу. Напротив, оно действовало как дроппер (программа, которая загружает и устанавливает дополнительное вредоносное ПО). Спустя короткое время приложение обращалось к удаленному серверу и скачивало настоящую полезную нагрузку - банковский троян Anatsa. Для маскировки запрос направлялся на URL, содержащий безобидное название файла "privacy.txt" (текстовый файл с политикой конфиденциальности), что помогало обходить простые средства обнаружения и не вызывало подозрений у пользователей.
Получив полезную нагрузку, троян подключался к нескольким серверам управления и контроля (C2-серверам - инфраструктуре, с помощью которой злоумышленники отдают команды зараженным устройствам). Зафиксированы три таких сервера с различными IP-адресами, расположенными, вероятно, в разных юрисдикциях. Через эти каналы злоумышленники могли дистанционно управлять зараженными телефонами, загружать дополнительные модули и извлекать украденные данные.
Чем опасен Anatsa
Банковский троян Anatsa - это сложная вредоносная программа, целенаправленно созданная для атак на финансовые приложения. В её арсенале несколько методов кражи информации. Прежде всего это оверлейные атаки: когда пользователь открывает легитимное банковское приложение, троян накладывает поверх него поддельное окно, которое перехватывает введенные логин и пароль. Кроме того, программа умеет записывать нажатия клавиш (кейлоггинг) и делать снимки экрана. Отдельная опасность - перехват SMS-сообщений, в том числе тех, что содержат одноразовые пароли для подтверждения операций. Таким образом злоумышленники получают контроль над счетами жертвы и могут проводить мошеннические транзакции.
Чтобы получить максимальные возможности, троян злоупотребляет сервисом специальных возможностей Android (Accessibility Service). Этот сервис предназначен для помощи людям с ограничениями здоровья, но киберпреступники часто используют его для получения расширенных разрешений. Зараженное устройство затем позволяет вредоносной программе работать незаметно в фоновом режиме, и пользователь может долгое время не подозревать об атаке.
Широкий контекст: Google Play как площадка для угроз
Этот случай - не единичный. Киберпреступники регулярно пытаются протащить в Google Play приложения, которые выглядят безобидными, но содержат скрытый вредоносный код. Они обходят проверки магазина за счет того, что вредоносная функциональность активируется только после установки - либо с задержкой, либо после загрузки дополнительных компонентов с внешнего сервера. Несмотря на работу встроенной защиты Google Play Protect, злоумышленники постоянно совершенствуют методы маскировки.
Для пользователей и организаций такой сценарий означает, что даже официальный магазин приложений не гарантирует полной безопасности. Особенно уязвимы те, кто устанавливает софт, не проверяя отзывы и рейтинг разработчика. Важно также внимательно относиться к запросам разрешений: если приложение-читалка просит доступ к службе специальных возможностей или к чтению SMS, это тревожный сигнал. Современные мобильные средства защиты способны выявлять поведение, характерное для троянов, и блокировать подозрительную активность.
Рекомендуется устанавливать обновления операционной системы и приложений своевременно, так как в них часто закрываются уязвимости, которые используют подобные вредоносные программы. К сожалению, в случае с трояном Anatsa пользователи могли получить заражение задолго до того, как Google удалил приложение, поэтому тем, кто успел скачать его, стоит проверить свои смартфоны и немедленно сменить пароли от банковских сервисов.
Этот инцидент показывает, что атаки через доверенные каналы остаются одним из самых действенных методов для киберпреступников. Урок для всех нас - важность осознанного отношения к каждому устанавливаемому приложению, даже если оно размещено в официальном магазине.
Индикаторы компрометации
URLs
- http://162.252.173.37:85/api/
- http://172.86.91.94/api/
- http://193.24.123.18:85/api/
- http://23.251.108.10:8080/privacy.txt
SHA256
- 5c9b09819b196970a867b1d459f9053da38a6a2721f21264324e0a8ffef01e20
- 88fd72ac0cdab37c74ce14901c5daf214bd54f64e0e68093526a0076df4e042f
