Свыше 90 вредоносных приложений для Android проникли в устройства более чем 5,5 миллионов пользователей через официальный магазин приложений Google Play. Основным вредоносом, который устанавливался с этими приложениями, оказался банковский троян Anatsa, известный также как Teabot. Этот троян способен красть учетные данные онлайн-банкинга, позволяя злоумышленникам осуществлять финансовые операции от имени жертв.
Два основных приложения, которые использовались для распространения Anatsa, — это «PDF Reader & File Manager» и «QR Reader & File Manager», суммарное число установок которых превысило 70 тысяч. Возвращение Anatsa в Google Play подчеркивает серьезные проблемы с безопасностью в официальном магазине приложений.
Исследователи из компании Zscaler, специализирующейся на кибербезопасности, отмечают, что Anatsa использует сложный многоступенчатый механизм заражения. Начиная с получения конфигурации и данных от сервера управления (C2), троян загружает DEX-файл с вредоносным кодом на устройство. Затем следует загрузка файла конфигурации, содержащего ссылку на пейлоад Anatsa, который устанавливается на устройстве, завершая процесс инфекции.
Также Anatsa обладает функциями обхода систем безопасности, включая проверку среды выполнения, чтобы избежать обнаружения в песочницах, а также адаптацию к геолокации и профилю жертвы, что делает его одним из наиболее сложных и опасных вредоносов, обнаруженных в последнее время.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.