Специалисты по кибербезопасности из «Лаборатории Касперского» сообщили об обнаружении в официальном каталоге приложений Google Play банковского троянца Anatsa. Вредоносная программа была замаскирована под видом популярного инструмента для чтения PDF-документов.
Зараженное приложение успело набрать популярность. На 21 апреля оно находилось на 185-й позиции по числу загрузок в категории «Инструменты» для российских пользователей Google Play. До того как его удалили из магазина, программу успели скачать свыше 10 000 раз.
По словам экспертов, приложение корректно выполняло свою основную функцию – открывало PDF-файлы. Однако в его код был встроен дроппер, который после инсталляции на устройство скачивал дополнительный APK-файл, содержащий сам троянец Anatsa.
После получения расширенных прав доступа зловред начинал перехватывать конфиденциальную информацию пользователя, в том числе данные для доступа к банковским счетам.
Дмитрий Калинин, эксперт «Лаборатории Касперского», уточнил, что это не единичный случай распространения Anatsa через официальные магазины. Киберпреступники часто применяют тактику, при которой сначала размещают безопасное приложение, а вредоносный код добавляют в него позже, с одним из обновлений, уже после прохождения первичной модерации.
Эта схема позволяет им обходить автоматические проверки и дольше оставаться в тени.
«Этот случай наглядно демонстрирует, что даже официальные магазины приложений не застрахованы от угроз. Пользователям необходимо всегда быть начеку: внимательно изучать запрашиваемые разрешения и следить за поведением установленных программ», – заключил эксперт.
