Експерти з безпеки виявили в Google Play, офіційному магазині завантажень для телефонів Android, понад 90 програм, заражених шкідливим програмним забезпеченням. Користувачі встановлювали ці небезпечні програми понад 5,5 мільйонів разів.
Зокрема, програми вражені банківським трояном Anatsa. Він атакує понад 650 додатків фінансових установ Великої Британії, Європи, США та Азії.
Троян намагається викрасти облікові дані онлайн-банкінгу та використовувати їх для здійснення шахрайських банківських операцій. Anatsa ховається в різних програмах, які видають себе за інструменти підвищення продуктивності. У лютому 2024 року вірус Anatsa став причиною принаймні 150 000 заражень через Google Play, використовуючи цю маску.
Тепер, у травні 2024 року, Anatsa знову вдалося проникнути в Google Play Store. Про уе йдеться в розслідуванні команди Zscaler. Кіберзлочинці розповсюджують банківський троян через нешкідливі та корисні програми «PDF Reader & File Manager» і «QR Reader & File Manager».
Під час розслідування охоронною компанією Zscaler користувачі встановлювали ці дві заражені програми на своїх пристроях приблизно 70 000 разів. У звіті виділяється «Інструменти» як найпопулярніша категорія додатків, на яку припадає майже 40%, тоді як «Персоналізація» та «Фотографія» складають 20% та 13% відповідно.
Як це відбувається?
Anatsa ухиляється від виявлення зловмисного програмного забезпечення Google, завантажуючи шкідливі компоненти в кілька етапів. По-перше, програма дроппера отримує конфігурацію та ключові рядки з командно-контрольних серверів хакерів. Потім програма завантажує файл DEX, що містить шкідливий код дроппера, і активує його на пристрої Android.
Потім програма завантажує файл конфігурації, що містить URL-адресу корисного навантаження Anatsa. Нарешті, файл DEX отримує фактичне шкідливе програмне забезпечення як файл APK і встановлює його, завершуючи процес зараження. Файл DEX також перевіряє, чи зловмисне програмне забезпечення не працює в пісочниці або всередині емуляції, де воно було б неефективним.
Коли Anatsa запускається на нещодавно зараженому пристрої Android, він завантажує конфігурацію бота та результати сканування програми на сервери, а потім завантажує цільові «ін’єкції», які відповідають розташуванню та профілю пристрою-жертви.
Як згадувалося вище, Anatsa — це лише один тип зловмисного програмного забезпечення, яке зараз особливо активно в Google Play. Загалом експерти з безпеки виявили понад 90 заражених програм (назви яких дослідники безпеки не опублікували), які користувачі Android встановлювали понад 5,5 мільйона разів.
Ці програми маскуються під інструменти, програми для персоналізації, фото-утиліти, програми для підвищення продуктивності та програми для здоров’я та фітнесу. Зараз Google видалив заражені програми з Google Play.
Як захистити себе
Загалом, ви повинні завантажувати програми Android лише з Google Play Store і уникати інших пропозицій щодо завантаження – навіть якщо хакерам у описаному випадку вдалося обдурити механізми безпеки Google.
Перш ніж щось завантажувати, прочитайте, які дозволи вимагає програма на вашому пристрої. Критично запитайте, чи мають ці дозволи сенс чи заходять занадто далеко.
Крім того, будьте надзвичайно обережні щодо дзвінків, які ви можете отримати під час використання програм, особливо банківських, під час здійснення платежу чи транзакції.
Вам також слід встановити антивірусну програму на свій пристрій Android.
Підпишись на нас в Google НОВИНИ, та отримуй більше свіжих новин!