фото: Вредонос маскировался под PDF-ридер и крал банковские данные пользователей.
В Google Play вновь выявили вредоносное программное обеспечение — банковский троян Anatsa, который распространялся под видом обычного PDF-ридера.
Об этом сообщает РБК.
По данным пресс-службы «Лаборатории Касперского», приложение успело подняться до 185-го места в категории «Инструменты» среди российских пользователей и было скачано более 10 тысяч раз до удаления из магазина.
Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин, подобные схемы используются злоумышленниками не впервые.
«Это не первый случай распространения Anatsa через официальный магазин. Злоумышленники регулярно используют схему, при которой сначала публикуется легитимное приложение, а вредоносная функциональность добавляется позднее — уже после прохождения модерации. Такой подход помогает обходить проверки и дольше оставаться незамеченными», — заявил он.
По его словам, приложение действительно открывало PDF-файлы, однако внутри него был встроен дроппер. После установки он загружал дополнительный APK-файл с банковским трояном Anatsa, который получал расширенные права доступа и пытался перехватывать конфиденциальные данные пользователей, включая банковские учетные записи.
Специалисты подчёркивают, что даже загрузка приложений из официальных магазинов не гарантирует полной безопасности, а пользователям рекомендуется внимательно проверять запрашиваемые разрешения и поведение программ после установки.
Параллельно в App Store и Google Play был обнаружен ещё один вредонос — обновлённая версия трояна SparkCat. Он маскировался под легитимные сервисы, включая корпоративные мессенджеры и приложения доставки еды.
SparkCat, по данным исследователей, анализирует изображения в галерее смартфона и ищет на них текстовые данные, которые могут использоваться для восстановления доступа к криптокошелькам. При обнаружении такой информации она отправляется злоумышленникам.
Эксперты сообщили о двух заражённых приложениях в App Store и одном в Google Play, после чего данные были переданы в компании-разработчики.
При этом отмечается, что часть заражённых программ распространялась и через сторонние ресурсы, включая сайты, имитирующие официальные магазины приложений.
киберэксперт перечислил переводы, из-за которых могут заблокировать карту.