Новый софт для кражи данных из банковских приложений элегантно обходит защиту google play

Эксперты по информационной безопасности компании Threat Fabric выявили в Google Play 12 приложений, способных обойти механизмы защиты маркетплейса и красть банковские данные пользователей после установки. Загрузка вредоносного компонента осуществляется с августа по ноябрь в отдельных регионах, в число которых входит и Россия. Под удар попали приложения крупнейших российских банков.

Источник: threatfabric.com

По имеющимся данным, целями вредоносного ПО могут стать приложения Сбербанка, Тинькофф-банка, Почта-банка, ОТП-банка и Уралсиба. Обратить внимание стоит в первую очередь на программы, выполняющие функции сканеров документов и QR-кодов, но список ими не исчерпывается. Риску потери банковских данных подвержены не только пользователи сканеров. Уже известно, что сходные механизмы применяются и в другом софте, например предназначенном для тренировок.

Россия, наряду с США, Великобританией и другими государствами, попала под прицел группы приложений Anatsa. Примечательно, что вредоносное ПО вполне способно выполнять заявленные функции, причём программы получают многочисленные положительные отзывы в Google Play. Известно, что приложения семейства Anatsa установлены более 200 тыс. раз, а самым популярным из них является сканер QR-кодов, изданный QrBarBode LDC. Используются и другие вредоносы Alien, ERMAC и Hydra, но в России они фактически не применялись.

Источник: threatfabric.com

Установка вирусного компонента происходит выборочно после загрузки приложение проверяет необходимость установки вредоносного ПО. В случае, если это целесообразно, пользователю приходит сообщение о необходимости установить обновление и разрешить установку неизвестных приложений.

Вместо обновления владелец устанавливает вредоносный софт, который, с согласия владельца смартфона, получает полный доступ к управлению гаджетом. Необычный механизм загрузки отдельно от главного приложения и позволяет обойти защиту Google Play.