Google Play удалил 77 вредоносных приложений для Android, которые успели скачать более 19 миллионов раз. Об этом сообщили специалисты исследовательской группы Zscaler ThreatLabs, выявившие новую волну заражений, связанных с банковским трояном Anatsa (Tea Bot).
Более 66% удалённых программ содержали рекламное ПО, но самым опасным оказался троян Joker. После установки он получает доступ к SMS, контактам, звонкам, делает скриншоты и может автоматически подключать платные подписки, крадя деньги с банковских счетов.
Часть приложений маскировалась под обычные программы — игры, редакторы фото, фонарики. Внешне они работали как заявлено, но в фоновом режиме похищали банковские данные, SMS и информацию о местоположении.
Особое внимание экспертов привлек Joker в новой версии Harly. Вредонос хранит код в зашифрованном виде внутри APK, что позволяет обходить проверку Google Play. Harly уже проник в магазин с десятками загрузок.
Anatsa тоже обновился: теперь троян атакует 831 банковское и криптовалютное приложение вместо 650. Чаще всего злоумышленники использовали приложение «Document Reader – File Manager» как приманку для скрытой загрузки модуля Anatsa.
Для маскировки троян применял сложные методы: битые APK-архивы, шифрование строк, обнаружение эмуляторов, смену имён пакетов и хешей. Он использует сервис Accessibility для получения расширенных привилегий, загружает фишинговые формы и ведёт кейлоггер для сбора данных.
