СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Новости
Артем
09.07.2025
#Dev#ИБ

Банковский троян Anatsa снова проник в Google Play под видом приложения для просмотра PDF

Банковский троян Anatsa снова проник в Google Play под видом приложения для просмотра PDF

Изображение: Priscilla Du Preez (unsplash)

Исследователи Threat Fabric сообщили о новой волне распространения банковского трояна Anatsa, замаскированного под безобидное Android-приложение «Document Viewer – File Reader». Программа, загруженная более 50 000 раз, была доступна в Google Play от разработчика «Hybrid Cars Simulator, Drift & Racing».

Как поясняют специалисты, вредонос активируется сразу после установки и начинает отслеживать запуск банковских приложений США. При обнаружении цели он накладывает поддельное уведомление о «техническом обслуживании», блокируя доступ к интерфейсу настоящего банка и скрывая фоновую активность. В это время Anatsa перехватывает данные, логины, пароли и может инициировать автоматические переводы.

Подобные атаки Anatsa проводятся регулярно. Ранее троян проникал в Google Play под видом сканеров QR-кодов и приложений для работы с файлами:

  • ноябрь 2021 года — более 300 000 установок;
  • июнь 2023 года — около 30 000 установок;
  • февраль 2024 года — до 150 000 установок;
  • май 2024 года — 70 000 установок в совокупности через два поддельных приложения.

Несмотря на регулярные чистки, Anatsa продолжает находить способы обхода фильтров Google Play, используя загрузку вредоносных компонентов уже после установки. Такой подход позволяет троянам обходить начальные этапы проверки приложений на платформе.

Эксперты предупреждают, что пользователь может не заметить ничего подозрительного: вредонос тщательно маскируется, а фальшивые окна выглядят достоверно. В момент атаки у жертвы нет возможности оперативно проверить транзакции или связаться с банком.

Threat Fabric подчёркивает, что даже официальные магазины не гарантируют безопасность. Рекомендуется:

  • избегать установки неизвестных утилит из Google Play, особенно от разработчиков без проверенной репутации;
  • регулярно проверять список установленных приложений;
  • использовать антивирусные решения с функцией защиты от оверлеев и кейлоггеров;
  • ограничивать права доступа для подозрительных приложений.

Google уже удалил вредонос, но пользователям, установившим «Document Viewer – File Reader», рекомендуется немедленно удалить его и сменить пароли от банковских сервисов.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: