Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Троян Teabot возвращается в Google Play

30/05/24

Специалисты Zscaler обнаружили более 90 вредоносных приложений в Google Play, предназначенных для распространения вредоносного и рекламного ПО, включая банковский троян Anatsa. Приложения были скачаны более 5,5 миллионов раз, пишет Securitylab.

Описание Anatsa (Teabot)

Anatsa — это банковский троян, нацеленный на более 650 приложений финучреждений в Европе, США, Великобритании и Азии. Троян похищает учетные данные онлайн-банков для выполнения мошеннических транзакций. С конца 2023 года Anatsa заразила устройства как минимум 150 000 раз через Google Play, используя различные приложения из категории повышения производительности.

Распространение Anatsa через Google Play

Согласно данным Zscaler, Anatsa вернулась в Google Play и распространяется через два приложения-приманки: «PDF Reader & File Manager» и «QR Reader & File Manager». На момент анализа приложения были установлены 70 000 раз, что указывает на высокий риск их ускользания от процесса проверки Google.

usv1cw6279lzllfv7xnotiwaus8i27cn

Механизм доставки вредоносного ПО

Anatsa использует многоэтапный механизм доставки полезной нагрузки, включающий четыре этапа:

  1. Приложение получает конфигурацию и важные строки с C2-сервера;
  2. Загружается и активируется DEX-файл с вредоносным кодом-дроппером;
  3. Загружается файл конфигурации с URL-адресом полезной нагрузки Anatsa;
  4. DEX-файл извлекает и устанавливает вредоносное ПО (APK), завершая процесс заражения.

Антианализ и защита

DEX-файл выполняет проверки системы антианализа, чтобы гарантировать, что вредоносное ПО не будет запущено в песочницах или эмулирующих средах. После запуска Anatsa загружает конфигурацию бота и результаты сканирования приложения, а затем загружает инъекции, соответствующие местоположению и профилю жертвы.

Другие вредоносные приложения

За последние несколько месяцев Zscaler обнаружила более 90 вредоносных приложений в Google Play, которые в общей сложности были установлены 5,5 миллиона раз. Большинство из них маскировались под приложения для персонализации, утилиты для фотографий, приложения для повышения производительности, а также приложения для здоровья и фитнеса.

Исследователи не раскрыли названия всех приложений и не уточнили, сообщили ли они в Google о кампании. На данный момент 2 приложения были удалены из Google Play.

По данным Zscaler, на рынке доминируют несколько семейств вредоносных программ: Joker, Facestealer, Anatsa, Coper и различные рекламные приложения. Несмотря на то, что Anatsa и Coper составляют всего 3% от общего числа вредоносных загрузок, они гораздо опаснее, так как способны совершать злонамеренные действия и красть конфиденциальную информацию.

gm11mnlx0u8f35hcvzqndjjjzide086e

Рекомендации пользователям

При установке новых приложений в Google Play обязательно проверяйте запрашиваемые разрешения и отклоняйте те, которые связаны с действиями высокого риска, такими как доступ к службе специальных возможностей, SMS и списку контактов.

Темы:приложенияУгрозытрояныGoogle PlayZscaler
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...