Специалисты команды Zscaler ThreatLabs выявили на платформе Google Play масштабную подборку вредоносных Android-приложений. Всего было обнаружено 77 наименований, суммарно установленных более 19 млн раз. Многие из них представляли собой навязчивый рекламный софт, но четверть оказалась куда опаснее — речь шла о троянских программах, способных красть персональные данные, подписывать пользователей на платные услуги и отслеживать действия на устройстве.
Среди наиболее активных вредоносов специалисты называют вирус Joker. Он использует классическую схему: получает доступ к СМС, контактам, телефонным звонкам, а затем активирует платные подписки без ведома пользователя. Также зафиксирована модификация под названием Harly, маскирующаяся под безобидные приложения — игры, фоторедакторы и фонарики. Эти программы внешне работают корректно, но в фоновом режиме могут перехватывать пароли, координаты, банковские реквизиты и другую чувствительную информацию.
Особую тревогу у исследователей вызвал троян Anatsa (он же Tea Bot), ранее уже известный своими атаками на банковские приложения. В обновлённой версии Anatsa способен атаковать 831 банковское и криптовалютное приложение по всему миру (в прошлых версиях — около 650). На этот раз он скрывался под названием «Document Reader – File Manager». При установке приложение выглядело безвредным, но после первого запуска загружало вредоносный код с внешнего сервера.
Как уточняют специалисты Zscaler, Anatsa получил ряд новых приёмов маскировки: он шифрует строки в коде, избегает песочниц и виртуальных сред, проверяет наличие отладчиков и периодически меняет пакеты и хеши, чтобы обходить антивирусные механизмы. Кроме того, он активно использует системные функции ОС Android и способен подсовывать фишинговые окна, стилизованные под интерфейсы банковских приложений.
По данным Zscaler, все вредоносные программы уже удалены из Google Play. Однако устройства, на которых они были установлены, остаются под угрозой. Пользователям рекомендуется незамедлительно проверить смартфоны и убедиться, что активирована функция Google Play Protect. Особую осторожность стоит проявлять при установке софта из категорий «инструменты» и «персонализация» — именно такие приложения чаще всего используются злоумышленниками как прикрытие.