На Google Play обнаружено приложение с более чем 50 тысячами загрузок, распространявшее банковский троян Anatsa

Официальный магазин приложений Google Play иногда тоже становится жертвой уловок киберпреступников. Специалисты Zscaler ThreatLabz выявили, что приложение под названием «Document Reader – File Manager», набравшее более 50 тысяч загрузок, на самом деле распространяло опасный банковский троян Anatsa (TeaBot).

Опасность за маской обычного просмотрщика документов

Приложение позиционировало себя как удобный инструмент для чтения PDF-файлов, сканирования документов и управления файлами. Интерфейс выглядел совершенно обычным, поэтому у пользователей не возникало подозрений.

Однако после установки приложение скрытно загружало вредоносный компонент под видом «обновления». Этот процесс смог обойти защитные механизмы Google Play.

Если вредоносный файл не загружался, приложение продолжало функционировать как обычный просмотрщик документов, чтобы не вызвать подозрений.

Anatsa — опасный троян, крадущий банковские данные

Банковский троян Anatsa активно распространяется с 2020 года и представляет серьёзную угрозу для пользователей Android. Он обладает следующими возможностями:

  • кража логинов и паролей от банковских приложений
  • чтение SMS с кодами подтверждения
  • отслеживание действий на экране
  • выполнение мошеннических транзакций от имени пользователя
  • создание поддельных окон, имитирующих интерфейс банковских приложений

Новые версии Anatsa уже нацелены на более чем 800 банков и финансовых учреждений по всему миру, включая криптовалютные сервисы.

Запрашиваемые разрешения усиливали риск

Приложение запрашивало у пользователей опасные разрешения, среди которых:

  • Accessibility Service — для автоматического управления устройством
  • Чтение SMS — для перехвата банковских кодов
  • Отображение поверх других окон — для вывода фишинговых экранов поверх банковских приложений

Именно эти разрешения позволяли Anatsa легко похищать данные, вводимые пользователем.

Количество вредоносных приложений в Google Play растёт

Этот случай — не единичный. По информации ThreatLabz, недавно из Google Play было удалено 77 вредоносных приложений, которые в сумме получили более 19 миллионов загрузок.

Чаще всего злоумышленники маскируют свои программы под «просмотрщики документов», «файловые менеджеры», «оптимизаторы» и другие полезные инструменты.

Индикаторы компрометации (IOC)

  • Package name: com.quantumrealm.nexdev.quarkfilerealm_filedoctool
  • Installer MD5: 98af36a2ef0b8f87076d1ff2f7dc9585
  • Payload MD5: da5e24b1a97faeacf7fb97dbb3a585af
  • Download URL: quantumfilebreak[.]com/txt.txt
  • C2-серверы:
    • 185.215.113[.]108:85/api/
    • 193.24.123[.]18:85/api/
    • 162.252.173[.]37:85/api/

Рекомендации для пользователей

  • Проверяйте отзывы и информацию о разработчике перед установкой приложений.
  • Внимательно изучайте запрашиваемые разрешения.
  • Будьте осторожны, если приложение предлагает установить «обновление» внутри себя.
  • Используйте антивирусные решения.
  • Не доверяйте внезапным всплывающим окнам, особенно поверх банковских приложений.
  • Всегда держите включённой функцию Google Play Protect.