Неуловимый троян под названием Anatsa начал красть банковские реквизиты у владельцев смартфонов с операционной системой Android. По данным компании по предотвращению финансового мошенничества, пользователи Android по всему миру стали жертвами вредоносного ПО, которое начало распространяться с марта 2023 года.
Компания ThreatFabric из Амстердама сообщает, что Anatsa проникает на смартфоны людей через магазин Google Play, который невольно позволяет пользователям загружать приложения, которые кажутся безопасными, но являются замаскированным трояном. В ноябре 2021 года ThreatFabric обнаружила, что четыре приложения, содержащие Anatsa, заразили почти 300 000 устройств пользователей, разместив поддельные формы входа в систему поверх настоящих экранов банковских, криптовалютных и других приложений. Учетные данные, введенные в эти поддельные формы входа, возвращались к злоумышленникам, позволяя им получать доступ к счетам жертв по своему усмотрению.
Сейчас модифицированная Anatsa опять делает свои грязные дела. На этот раз более 30 000 пользователей Android случайно загрузили троян благодаря фальшивому приложению "PDF Viewer - Reader & Editor" в Google Play. По данным ThreatFabric, почти все эти загрузки произошли в США и Великобритании. Но список из более чем 90 целевых приложений финансовых услуг показывает, что пользователи в Италии, Германии, Франции, Объединенных Арабских Эмиратах, Швейцарии, Южной Корее, Австралии и Швеции также подвержены риску, когда «дропперы» (термин для фальшивых приложения, маскирующие троянов, таких как Anatsa), становятся активными в этих регионах.
Только в этом году Anatsa спряталась в пяти различных приложениях для Android.
Каждый раз, когда ThreatFabric сообщает о приложении Anatsa в Google, приложение удаляется и тут же заменяется. Злоумышленники использовали три разных поддельных приложения для просмотра PDF-файлов, чтобы замаскировать трояна, и два приложения, которые утверждают, что используют ИИ для извлечения текста из документов. Все приложения изначально были добавлены в Google Play без внедрения Anatsa, поскольку Google проверяет код при первоначальной отправке. Как только приложения были запущены, злоумышленники обновили их вредоносным кодом.
Согласно заявлению Google, отправленному BleepingComputer во вторник, все пять приложений были удалены из магазина Google Play. Однако известно, что Anatsa в настоящее время нацелена примерно на 600 финансовых приложений, начиная от крупных американских учреждений, таких как Charles Schwab и Capital One, и заканчивая небольшими кредитными союзами во всему земному шару. Этот обширный список подразумевает, что это не последний раз, когда троян Anatsa появится в фальшивых приложениях для повышения производительности в Google Play. Пользователям рекомендуется проверять отзывы пользователей об издателях и историю приложений перед каждой загрузкой, даже если они находятся в магазине с хорошей репутацией.
