PDF-читалка и чистильщик мусора: под что ещё маскируется вредоносный загрузчик Anatsa

VPN для безопасного серфинга в России – купи через наш Телеграмм-бот:

Хакеры раз за разом обходят модерацию Google, публикуя зловредные приложения. Как им это удаётся?

В ноябре прошлого года исследователи обнаружили расширение вредоносной активности Android-трояна под названием Anatsa на территорию Словакии, Словении и Чехии. Расширение является частью новой кампании, в ходе которой, несмотря на усиленные механизмы обнаружения и защиты , внедряемые в Google Play, некоторые вредоносные загрузчики успешно эксплуатировали службу специальных возможностей Android.

Как сообщает компания ThreatFabric, все используемые в данной зловредной кампании загрузчики безо всяких проблем справляются со своей задачей, обходя системные ограничения Android 13. Всего в кампании задействовано пять загрузчиков с общим числом установок более 100 тысяч.

Троян Anatsa, также известный как TeaBot и Toddler, распространяется через совершенно безвредные, на первый взгляд, приложения в Play Store. После установки и запуска троян способен полностью контролировать заражённые устройства и совершать различные действия от имени жертвы, включая кражу учётных данных для проведения мошеннических операций.

Одна из версий программы-загрузчика, замаскированная под приложение для очистки системы «Phone Cleaner — File Explorer», использовала технику управления версиями для внедрения вредоносного кода. То есть, сначала выгруженное в Google Play приложение не содержало какого-либо вредоносного кода. Весь зловредный функционал был добавлен уже с последующими обновлениями, когда тщательная модерация кода со стороны Google, фактически, больше не производится.

Чтобы избежать обнаружения после внедрения вредоносного функционала, злоумышленники использовали многоэтапный процесс заражения. Загрузчик динамически подгружал конфигурацию и полезную нагрузку с C2-сервера, что позволяло хакерам в любой момент изменять вредоносные компоненты по своему желанию.

Несмотря на то, что приложение «Phone Cleaner — File Explorer» больше недоступно в официальном Play Store, его всё ещё можно скачать через сторонние источники. По данным AppBrain, приложение было загружено около 12 000 раз в период между 13 и 27 ноября, прежде чем было удалено.

  Google преподает Gemini уроки истории: ждем, когда модель снова сможет рисовать людей

Забудь про блокировки! VPN через Телеграмм-бот для России!

ThreatFabric отмечает предпочтение злоумышленников концентрировать свои атаки на определённых географических регионах, что приводит к большому числу случаев мошенничества в короткие сроки.

После выхода отчёта ThreatFabric представители Google сообщили, что удалили все приложения, идентифицированные исследователями, а именно:

  • Phone Cleaner – File Explorer (com.volabs.androidcleaner)
  • PDF Viewer – File Explorer (com.xolab.fileexplorer)
  • PDF Reader – Viewer & Editor (com.jumbodub.fileexplorerpdfviewer)
  • Phone Cleaner: File Explorer (com.appiclouds.phonecleaner)
  • PDF Reader: File Manager (com.tragisoap.fileandpdfmanager)

Одно из приложений на момент своего удаления 19-го февраля успело набрать 100 тысяч установок. Будем надеяться, что пользователи вовремя заметили неладное и удалили замаскированный дроппер со своего устройства.

Google отмечает, что пользователи Android теперь автоматически защищены от известных версий вредоносного ПО Anatsa благодаря функции Play Protect, которая по умолчанию включена на всех устройствах с сервисами Google.

Функция Play Protect может предупреждать пользователей и блокировать приложения, известные своим вредоносным поведением, даже если они поступают не из официального магазина Play Store.

Но даже несмотря на то, что угроза миновала, а защитные меры Google постоянно улучшаются, — расслабляться всё же не стоит. Чтобы не стать одной из жертв похожего вредоносного ПО, никогда не устанавливайте сомнительные приложения от неизвестных издателей, а также внимательно обращайте внимание на требуемые разрешения.

Доступ к службе специальных возможностей и вовсе должен стать для вас лакмусовой бумажкой: если приложение запрашивает такие полномочия, оно, скорее всего, вредоносное.

Ты не вирус, но мы видим, что ты активен!

Подпишись, чтобы защититься

Онлайн VPN сервис — это виртуальная частная сеть (VPN), доступная для использования через интернет. Такие сервисы позволяют пользователям безопасно и анонимно подключаться к интернету, защищая их данные и обеспечивая конфиденциальность в сети. Онлайн VPN сервисы становятся все более популярными, так как они предоставляют простое и удобное решение для защиты интернет-трафика.

  PT BlackBox 2.7 теперь сканирует сайты на «1С-Битрикс» на 90% быстрее

Онлайн VPN сервис — это важный инструмент для обеспечения безопасности и конфиденциальности в интернете. Он позволяет защитить ваши данные, обходить блокировки и сохранять анонимность. Выбор надежного онлайн VPN поможет вам безопасно серфить в интернете и защитить свою личную информацию.