Основна загроза, яку становить троян Anatsa – непомітне викрадання конфіденційних даних користувачів, серед яких чутлива банківська інформація. Zscaler, компанія, що працює в галузі технологій безпеки, провела дослідження і виявила, що троян інфікував десятки, на перший погляд, нешкідливих застосунків в Google Play.
Серед заражених програм – файлові менеджери, сканери QR-кодів та перекладачі, які є важливими інструментами для багатьох користувачів. Ця прихована атака призвела до того, що мільйони пристроїв були скомпрометовані, що може призвести до значних витоків фінансових та персональних даних.
Як працює троян
Після встановлення ці шкідливі програми непомітно завантажують додатковий шкідливий код або компоненти з віддалених серверів зловмисників. Ця активність часто виглядає як рутинне оновлення програми, що ускладнює виявлення загрози для користувачів.
Потім Anatsa запитує дозволи на доступ до різних функцій пристрою і починає сканувати застосунки, пов'язані з фінансовими послугами, такими як банківські та платіжні системи. Виявивши ці програми, Anatsa замінює їх інтерфейс на переконливі фальшиві сторінки входу в систему, змушуючи користувачів зазначати свої облікові дані.
Постраждати могли сотні тисяч користувачів
Дослідники виявили десятки таких шкідливих додатків в Google Play, кожен з яких в середньому завантажується приблизно 70 000 разів. Попри те, що Anatsa є найбільш швидкозростаючою загрозою, вона становить лише 2,1% поточного ландшафту атак.
Понад 50% цих атак припадає на трояни Joker і Facestealer, які спеціалізуються на крадіжці облікових даних у соціальних мережах, SMS-повідомлень та іншої особистої інформації.
Ці типи шкідливих програм часто маскуються під корисні програми для таких завдань, як сканування QR-кодів, управління PDF-файлами, редагування фотографій та персоналізація пристроїв. Кіберзлочинці користуються довірою користувачів до популярних додатків у Google Play, що призводить до масових заражень.
Вони зміцнюють уявну легітимність своїх застосунків, збільшуючи кількість завантажень за допомогою агресивної реклами, тим самим підвищуючи видимість додатків і швидкість їхнього завантаження.