Эксперты компании ThreatFabric обнаружили, что банковские трояны, распространяющиеся через Google Play Store, заразили более 300 000 устройств. Малварь маскировалась под работающие сканеры QR-кодов, PDF-сканеры, приложения для фитнеса и двухфакторной аутентификации.
Проникнув на устройство, банкеры пытались похитить учетные данные пользователей, когда те входили в приложения. Кража учетных данных обычно осуществлялась с помощью оверлеев, отображаемых поверх настоящего экрана входа.
Исследователи пишут, что обнаружили четыре вредоносных кампании по распространению банковских троянов через Google Play Store. Причем недавние изменения в политике Google и усиление контроля за приложениями вынудили злоумышленников изменить тактику и эффективнее избежать обнаружения.
В частности, теперь хакеры создают реалистично выглядящие приложения на самые разные темы, включая фитнес, криптовалюту, сканеры QR-кодов, работу с PDF и так далее. Более того, они создают таким фейкам сайты, соответствующие тематике приложения, чтобы малвари было легче пройти проверки Google. Также ThreatFabric отмечает, что часто такие приложения распространяются только в определенных регионах или становятся вредоносными лишь со временем.
Начиная с июля 2021 года вредоносные приложения распространяют четыре банковских трояна: Alien, Hydra, Ermac и Anatsa.
За эти месяцы дропперы были суммарно скачаны и установлены более 300 000 раз, а некоторые приложения успели набрать более 50 000 установок.
Также известно какие именно трояны скрывались в тех или иных приложениях:
В настоящее время специалисты Google уже удалили все опасные приложения из Play Store, и советуют пользователям как можно скорее удалить их со своих устройств.
Хакер.ру
Проникнув на устройство, банкеры пытались похитить учетные данные пользователей, когда те входили в приложения. Кража учетных данных обычно осуществлялась с помощью оверлеев, отображаемых поверх настоящего экрана входа.
Исследователи пишут, что обнаружили четыре вредоносных кампании по распространению банковских троянов через Google Play Store. Причем недавние изменения в политике Google и усиление контроля за приложениями вынудили злоумышленников изменить тактику и эффективнее избежать обнаружения.
В частности, теперь хакеры создают реалистично выглядящие приложения на самые разные темы, включая фитнес, криптовалюту, сканеры QR-кодов, работу с PDF и так далее. Более того, они создают таким фейкам сайты, соответствующие тематике приложения, чтобы малвари было легче пройти проверки Google. Также ThreatFabric отмечает, что часто такие приложения распространяются только в определенных регионах или становятся вредоносными лишь со временем.
После установки такое приложение тихо обменивается данными с сервером злоумышленников в ожидании команд. В нужное время сервер велит приложению выполнить фейковое «обновление», которое в итоге загрузит и запустит на устройстве малварь.
Начиная с июля 2021 года вредоносные приложения распространяют четыре банковских трояна: Alien, Hydra, Ermac и Anatsa.
За эти месяцы дропперы были суммарно скачаны и установлены более 300 000 раз, а некоторые приложения успели набрать более 50 000 установок.
| Название приложения | Имя пакета |
| Two Factor Authenticator | com.flowdivison |
| Protection Guard | com.protectionguard.app |
| QR CreatorScanner | com.ready.qrscanner.mix |
| Master Scanner Live | com.multifuction.combine.qr |
| QR Scanner 2021 | com.qr.code.generate |
| QR Scanner | com.qr.barqr.scangen |
| PDF Document Scanner – Scan to PDF | com.xaviermuches.docscannerpro2 |
| PDF Document Scanner | com.docscanverifier.mobile |
| PDF Document Scanner Free | com.doscanner.mobile |
| CryptoTracker | cryptolistapp.app.com.cryptotracker |
| Gym and Fitness Trainer | com.gym.trainer.jeux |
Также известно какие именно трояны скрывались в тех или иных приложениях:
- Master Scanner Live — Alien;
- Gym and Fitness Trainer — Alien;
- PDF AI : TEXT RECOGNIZER — Anatsa;
- QR CreatorScanner — Hydra;
- QR CreatorScanner — Ermac.
В настоящее время специалисты Google уже удалили все опасные приложения из Play Store, и советуют пользователям как можно скорее удалить их со своих устройств.
Хакер.ру