Качать программу из официального магазина больше не безопасно — троян маскируется под безобидный PDF-ридер и крадёт банковские данные, а удалить его не так просто.
Что произошло
В Google Play обнаружен троян Anatsa, который маскировался под популярное приложение для чтения PDF-файлов. На момент удаления вредоноса из магазина его скачали более 10 тысяч раз. 21 апреля программа занимала 185-е место по скачиваемости в категории «Инструменты» у российских пользователей.
Об этом сообщили в пресс-службе «Лаборатории Касперского».
Как работает обман
Сначала злоумышленники публикуют легитимное приложение — оно действительно открывает PDF-файлы и не вызывает подозрений. Вредоносная функциональность добавляется позже, уже после прохождения модерации Google Play. Такой подход помогает обходить проверки и оставаться незамеченным как можно дольше.
После установки дроппер (вредоносная часть) загружал дополнительный APK-файл с банковским трояном Anatsa. Зловред получал расширенные разрешения и пытался перехватывать конфиденциальные данные, включая банковские учётные записи.
Как защититься
Эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Калинин рекомендует:
- внимательно относиться к обновлениям;
- проверять запрашиваемые разрешения (если PDF-ридер просит доступ к SMS или звонкам — повод насторожиться);
- учитывать поведение приложения (например, почему оно работает в фоне, когда не нужно).
Даже загрузка из официальных магазинов не даёт 100% гарантии безопасности.
Другая угроза: троян SparkCat
Одновременно с Anatsa в App Store и Google Play был обнаружен новый вариант трояна SparkCat. Вредонос маскировался под корпоративные мессенджеры и приложения для доставки еды. SparkCat сканирует фотографии в галерее смартфона, анализирует текст на изображениях и ищет фразы для восстановления доступа к криптокошелькам. При обнаружении информация отправляется злоумышленникам.
Два заражённых приложения найдены в App Store и одно в Google Play. Некоторые программы со SparkCat также распространялись через сторонние ресурсы, маскируясь под официальный магазин.
Что запомнить
Даже приложения из официальных магазнов (Google Play, App Store) могут быть опасны. Злоумышленники научились обходить модерацию, сначала выкладывая безвредную программу, а потом добавляя вредоносный код. Троян Anatsa маскировался под PDF-ридер и пытался красть банковские данные. Троян SparkCat сканировал галерею телефона в поиске ключей от криптокошельков. Проверьте, не устанавливали ли вы недавно приложение для чтения PDF — если да, лучше удалить и сменить пароли от банковских приложений, пишет источник.
