К моменту удаления этого зловреда из магазина его cкачали более 10 тысяч раз
Давно известный экспертам по кибербезопасности банковский троянец Anatsa на этой неделе снова был обнаружен в Google Play. Он маскировался под популярное приложение для чтения PDF-файлов. 21 апреля заражённое приложение заняло 185 место по скачиваемости в категории «Инструменты» в российском сегменте стора. К моменту удаления этого зловреда из магазина его cкачали более 10 тысяч раз.
Функционально приложение выполняло заявленные задачи и действительно позволяло читать PDF-файлы. Однако внутри него находился дроппер, который после установки загружал дополнительный APK-файл с банковским троянцем Anatsa. Получив расширенные разрешения, зловред пытался перехватывать конфиденциальные данные, включая банковские учётные записи.
«Это не первый случай распространения Anatsa через официальный магазин. Злоумышленники регулярно используют схему, при которой сначала публикуется легитимное приложение, а вредоносная функциональность добавляется позднее — уже после прохождения модерации. Такой подход помогает обходить проверки и дольше оставаться незамеченными. Этот кейс показывает, что даже загрузка приложений из официальных сторов не гарантирует полной безопасности, поэтому важно внимательно относиться к обновлениям, проверять запрашиваемые разрешения и учитывать поведение приложения», — комментирует Дмитрий Калинин, эксперт по кибербезопасности в «Лаборатории Касперского».
Решение Kaspersky Premium детектирует эту угрозу вердиктами HEUR:Trojan-Downloader.AndroidOS.Anatsa.a, HEUR:Trojan-Dropper.AndroidOS.Banker.bb и блокирует её.
