Нидерландская компания в сфере кибербезопасности ThreatFabric выявила приложения в магазине Google Play, которые загружают вирусы-трояны, способные украсть данные банковских приложений, — они опасны в том числе и для клиентов российских банков. Об этом сообщается в блоге компании.
Приложения маскируются под сканеры QR-кодов и документов, а также трекеры криптовалют. Исследователи приводят их названия: PDF Document Scanner, PDF Document Scanner — Scan to PDF, PDF Document Scanner Free, QR Scanner, QR Scanner 2021, CryptoTracker.
При этом программы выполняют заявленные функции, пишет ThreatFabric. Сообщается, что пользователи успели оставить большое количество положительных отзывов. Однако при установке сканеры и трекеры просят загрузить обновления, под видом которых со стороннего сервера скачивается троян. После этого приложения продолжают функционировать в обычном режиме.
Один из сканеров QR-кодов был загружен более 50 тыс. раз. Общее число загрузок всех приложений, нацеленных на российскую аудиторию, составило более 100 тыс., на все страны — более 300 тыс.
Вирусы действуют в ряде стран — помимо России список включает Великобританию и США. Троян, угрожающий отечественным пользователям, получил название Anatsa.
После установки он отправляет злоумышленникам технические данные об устройстве и информацию о его местонахождении. «Anatsa получает полный контроль над устройством и может самостоятельно выполнять действия от имени пользователя», — сообщается в материале.
Исследователи уточняют, что троян может подменять экраны банковских приложений, отправлять снимки экрана с целью украсть пароли и фиксировать набор текста на клавиатуре.
В расследовании приводится список приложений банков, чьи клиенты могли подвергнуться атакам. Для России он выглядит следующим образом:
- «Сбер»
- «Тинькофф»
- «Уралсиб»
- «ВТБ»
- «Мой банк»
- «Почта банк»
- «ОТП банк»
Исследователи добавляют, что изначально приложения не содержали в себе механизма загрузки вируса — он был добавлен в более поздних версиях. ThreatFabric не сообщает о возможном ущербе и количестве пострадавших пользователей.