Приложения для Android-смартфонов с банковским трояном Anatsa скачали больше 100 тыс. раз с осени 2023 года. Об этом сообщили специалисты по кибербезопасности ThreatFabric.
По данным экспертов, с ноября было пять новых волн кампании по распространению Anatsa. Прежде злоумышленники ориентировались на Великобританию, Испанию и Германию. С ноября троян через программы-дропперы стали также распространять в Словакии, Словении и Чехии.
Anatsa внедрили в несколько популярных приложений. Это в том числе Phone Cleaner — File Explorer и PDF Reader: File Manager. Программы попадали в топ-3 категории «Новые бесплатные приложения» в Google Play. Их скачали больше 100 тыс. раз. Аналитики ожидают, что злоумышленники будут создавать новые дропперы и расширяться на другие страны.
Эксперты выяснили, что вредоносные программы проводят многоэтапный процесс заражения, чтобы скрыть свои действия. Они обходят ограничения функций AccessibilityService, утверждая, что удаленный доступ нужен для перевода приложений в спящий режим. После заражения троян мог управлять другими программами на смартфоне и получить полный контроль над смартфоном, чтобы выполнять действия от имени пользователя. Отмечается, что вредоносный код изначально создали и протестировали для устройств Samsung.