Эксперты по информационной безопасности компании Threat Fabric сообщили, что они нашли в магазине Google Play 12 приложений Anatsa, которые позволяют обходить механизмы защиты маркетплейса и красть банковские данные пользователей после установки.
Вредоносный код внедрили в период с августа по ноябрь. Он нацелен на разные регионы, в том числе и на Россию.
В итоге под ударом оказались приложения крупнейших российских банков, в том числе Сбера, Тинькофф-банка, Почта-банка, ОТП-банка и «Уралсиба».
Эксперты советуют пользователям присмотреться к программам, которые работают как сканеры документов и QR-кодов. Среди них оказались QR Scanner 2021, QR Scanner, PDF Document Scanner — Scan to PDF, PDF Document Scanner, PDF Document Scanner Free.
Однако вредоносный компонент внедрили не только в них. Подобного рода код обнаружили также в приложениях для тренировок.
Интересно, что группа приложений Anatsa получает многочисленные положительные отзывы в Google Play. Число их установок превышает 300 тысяч, а самым популярным является сканер QR-кодов, изданный QrBarBode LDC. Используются и другие вредоносы — Alien, ERMAC и Hydra, но в России они фактически не применялись.
После загрузки такое приложение оценивает необходимость установки вредоносного ПО. Если это целесообразно, то пользователю приходит сообщение о необходимости установить обновление и разрешить установку неизвестных приложений.
Однако вместо обновления он получает вредоносный софт, который дает полный доступ к управлению устройством.
Тот факт, что пользователь дает согласие на установку, позволяет обойти механизмы защиты Google Play.
Anatsa — довольно продвинутый банковский троян для Android, который может выполнять классические оверлейные атаки для кражи учетных данных.
В конце октября исследователи кибербезопасности из Cleafy обнаружили вредоносное ПО, с помощью которого можно снимать средства из банковских приложений на Android-телефонах. SharkBot способен инициировать денежные переводы со взломанных устройств с помощью системы автоматических переводов (ATS), минуя механизмы многофакторной аутентификации.
А в сентябре активизировались операторы, стоящие за малварью BlackRock, которые начали распространять банковский троян ERMAC. Он атакует банковские приложения и кошельки по принципу «оверлея». ERMAC маскируется под приложения Google Chrome, в том числе медиа-проигрыватели, службы доставки, приложения государственных услуг и даже антивирусные решения вроде McAfee.
Между тем российские банки запускают альтернативные способы денежных переводов, которые позволяют оплатить услугу или перевести деньги без номера телефона, счета или карты. Они базируются на технологиях Bluetooth и AirDrop. Пользователь сможет увидеть ближайшие устройства клиентов того же банка с включенной функцией и отправить им средства.
