В магазине Google Play обнаружен сканер QR-кодов с вирусом, который крадет данные у клиентов крупнейших российских банков, в том числе "Сбера", "Тинькофф" и ВТБ. 12 вредоносных Android-приложений нашли эксперты киберзащитной фирмы ThreatFactor.
Зловреды относятся к виду так называемых дропперов. Эти программы, в целях обхода защитных механизмов Google Play, сами по себе не содержат "плохого" кода, однако служат для подгрузки другого вредоносного ПО.
По словам специалистов, в России (а также в США, Великобритании, Австралии, Швейцарии и других странах) распространяются приложения семейства Anatsa, которые были установлены более 200 тысяч раз. Одно из них — бесплатный сканер QR-кодов Free QR Code Scanner от издателя QrBarBode LDC — скачали из Google Play более 50 тысяч раз.
Программы имеют высокие оценки и, более того, выполняют заявленные функции (сканирование QR-кодов, PDF-документов, операции с криптовалютами), однако обладают встроенным загрузчиком Anatsa. Заражение происходит так: после установки из Google Play приложение также просит скачать "обновление", якобы необходимое ему для дальнейшей работы. С разрешения жертвы, код загружается с серверов злоумышленников, вместе с которым на Android-смартфон попадает банковский троянец.
После установки и получения привилегий Anatsa получает полный контроль над устройством и может выполнять действия от имени пользователя. Зловред, специализирующийся на банковских приложениях, может красть учетные данные, записывать происходящее на экране, а также перехватывать всю вводимую жертвой информацию.
Троянец угрожает клиентам крупнейших российских банков. Как выяснили в ThreatFactor, жертвами вредоноса могут стать пользователи приложений "Сбера", "Тинькофф", ВТБ, "Уралсиба", "Почта Банка", "ОТП Банка" и других финансовых организаций.
