В официальном магазине Google Play обнаружено вредоносное Android-приложение, замаскированное под программу для чтения документов и управления файлами. По данным экспертов компании Zscaler ThreatLabz, приложение под названием «Document Reader - File Manager» от разработчика ISTOQMAH успело набрать более 50 000 установок, оставаясь доступным для скачивания. Его настоящая цель - доставка на устройства пользователей банковского троянца Anatsa, также известного как TeaBot.
Описание
Эта кампания наглядно демонстрирует сохраняющиеся сложности в защите официальных магазинов приложений от изощрённых дропперов (dropper, программа-посредник для скрытной установки вредоноса). Троянец Anatsa, впервые замеченный в 2020 году, специализируется на краже учетных данных, кейлоггинге (фиксации нажатий клавиш) и проведении мошеннических транзакций, нацеливаясь на приложения финансовых организаций. Современные варианты угрозы расширили свою активность, охватив более 831 учреждения по всему миру, включая новые регионы, такие как Германия и Южная Корея, а также криптовалютные платформы.
Вредоносное приложение успешно мимикрирует под легитимный инструмент для открытия PDF-файлов, сканирования документов и управления файлами, обладая интуитивно понятным интерфейсом. После установки оно скрытно загружает полезную нагрузку (payload, вредоносный код) Anatsa, маскируя её под обновление с управляющего сервера злоумышленников (command-and-control server). Этот метод позволяет обойти защитные механизмы Google Play. Если проверки на стороне устройства не проходят, приложение отображает поддельный файловый менеджер, чтобы сохранить видимость легитимности.
Получив контроль, Anatsa запрашивает разрешения специальных возможностей (accessibility permissions), чтобы автоматически предоставить себе опасные привилегии, такие как SYSTEM_ALERT_WINDOW, READ_SMS и возможность отображения поверх других окон. Впоследствии троянец накладывает фишинговые страницы, адаптированные под обнаруженные банковские приложения. Для противодействия анализу Anatsa использует продвинутые тактики уклонения, включая расшифровку строк во время выполнения (runtime DES decryption), проверку модели устройства для уклонения от эмуляторов и использование повреждённых ZIP-архивов, скрывающих DEX-файлы (исполняемые файлы Android), что позволяет избежать обнаружения средствами статического анализа.
Данное приложение пополнило список десятков аналогичных приманок. Ранее ThreatLabz сообщала об удалении из Google Play 77 вредоносных приложений с общим числом установок около 19 миллионов. Кампании с использованием Anatsa часто эксплуатируют доверие к инструментам для повышения продуктивности, таким как просмотрщики документов. Пользователи подвергаются риску кражи банковских реквизитов через поддельные формы входа или автоматизированное мошенничество. Ранее подобные угрозы активно распространялись в разделе «Бесплатные инструменты» в Северной Америке.
Компания Google усилила защиту с помощью системы Play Protect, однако своевременные отчёты исследователей по-прежнему имеют решающее значение. Владельцам устройств Android рекомендуется тщательно проверять запрашиваемые приложениями разрешения, избегать установки непроверенных обновлений извне и использовать антивирусные сканеры. Команды информационной безопасности могут применять опубликованные индикаторы компрометации для мониторинга сетевой активности и проведения криминалистического анализа устройств.
Индикаторы компрометации
URLs
- http://162.252.173.37:85/api/
- http://185.215.113.108:85/api/
- http://193.24.123.18:85/api/
- https://quantumfilebreak.com/txt.txt
MD5
- 98af36a2ef0b8f87076d1ff2f7dc9585
- da5e24b1a97faeacf7fb97dbb3a585af
