Любопытная новость опубликована на сайте «Лаборатории Касперского». В ней рассказывается о приложении, которое было опубликовано на маркетплейсе Google Play, и содержало вредоносный код, нацеленный на кражу данных из банковских приложений.
Приложение, предназначенное для просмотра документов в формате PDF, загрузили десятки тысяч пользователей. Особую популярность оно нашло у российских пользователей — к 21 апреля достигло 185 места по скачиваемости в разделе «Инструменты» в российском сегменте маркетплейса.
При этом, помимо основных функций, приложение содержало банковский троянец, который фигурирует в вирусных базах под названием Anatsa.
Какой вред может нанести банковский троянец
Название «банковский троянец» здесь употребляется не случайно. Это целый класс вредоносных приложений, цель которых воровать информацию, связанную с банковскими приложениями — пароли, коды доступа и т.п.
Если говорить конкретно об Anatsa, то на сайте производителя антивируса «Доктор Веб» приводятся следующие возможности зловреда:
- использование прав администратора;
- получение информации об активных администраторах устройства;
- создание заданий в системном планировщике;
- отображение собственных окон поверх других приложеий;
- получение информации об отправленны/принятых SMS-сообщениях;
- перехват пуш-уведомлений.
В итоге приложения, заражённые этим троянцем, могут незаметно работать в фоновом режиме независимо от основного приложения, нарисовать свой поддельный экран поверх экрана банковского приложения, и узнать пароль или пин-код для входа, перехватывать SMS-сообщения и уведомления.
Соответственно, злоумышленники могут получить доступ к чужим учётным записям и подтверждать операции кодами, которые приходят на заражённое устройство.
Anatsa существует не первый год — в вирусной базе «Доктор Веб» зафиксировано более 40 тыс. модификаций. Его жертвами становятся люди по всему миру; он рассчитан на более чем 600 банковских приложений, включая приложения крупных российских банков: Сбербанка, ВТБ, Тинькофф-банка, ОТП-банка и других.
Как злоумышленники распространяют банковские трояны
Самое неприятное в этой ситуации заключается в том, что жертвой такого вредоносного приложения может стать любой пользователь.
Модификации этого банковского зловреда распространялись под видом разных приложений.
Вам потребовалось приложение для каких-то банальных действий — открыть файл определённого формата, прочитать QR-код или приложение-фонарик? Вы легко можете загрузить заражённое приложение, которое даже будет нормально работать. Более того, обычное приложение тоже внезапно может стать вредоносным.
Распространение троянца происходит по такой схеме:
- Сначала публикуется незараженная версия приложения, которая начинает рекламироваться.
- Когда приложение набирает популярность, выпускается обновление, содержащее вредоносный код.
- Приложение обновляется на устройствах пользователей и начинает «вредоносную деятельность».
К тому моменту, как эту деятельность заметят, и приложение удалят из маркетплейсов, оно уже может быть установлено на тысячах устройств.
Как защитить себя от банковских троянов
К сожалению, полностью исключить риск заражения невозможно, но, если соблюдать базовые правила безопасности, риск будет существенно ниже.
Проверяйте разрешения приложения перед установкой. Например, приложению-фонарик или сканеру QR-кодов не нужны права на доступ к SMC или контактам.
Ещё один повод насторожиться, если приложение запросило расширенные права после очередного обновления.
Выбирайте известных и проверенных разработчиков. В маркетплейсах опубликовано множество однотипных приложений — выбор есть практически всегда. Поэтому не помешает, прежде чем установить приложение, узнать чуть больше о нём и о его разработчике. Риск получить троянца в приложении с десятилетней историей ниже, чем в том, которое выпущено пару месяцев назад.
Не устанавливайте лишние приложения. Своё приложение-фонарик есть в любом современном телефоне, QR-коды умеет сканировать камера, да и читалку для PDF тоже, скорее всего, установил производитель телефона.
Не пренебрегайте антивирусами. Современные антивирусы, включая тех, которые встроены в приложения некоторых банков, умеют выявлять известные модификации банковских троянов и предупреждают о потенциальной угрозе.