В официальном магазине Google Play была выявлена новая масштабная угроза для пользователей Android. Эксперты исследовательской группы Zscaler ThreatLabs обнаружили 77 вредоносных приложений, которые в совокупности были установлены более чем 19 миллионов раз. Все они уже удалены, однако риск заражения для пользователей, успевших установить программы, остаётся актуальным.

Основные угрозы: Joker, Anatsa и Harly

Анализ показал, что более 66 % заражённых приложений содержали компоненты рекламного ПО (adware). Однако самой опасной угрозой стал троян Joker, встречающийся почти в четверти обнаруженных программ. После установки он получает доступ к SMS, спискам контактов, совершению звонков, скриншотам экрана, а также может автоматически подключать жертв к платным подпискам.

Отдельная часть вредоносного софта относилась к категории maskware — таких приложений, которые маскируются под легитимные сервисы (редакторы фото, фонарики, игры, обои). Внешне они выполняют заявленные функции, но в фоновом режиме крадут учётные данные, банковскую информацию, местоположение и переписки.

Исследователи также обнаружили модифицированную версию Joker под названием Harly. В отличие от классической формы трояна, он хранит зашифрованный вредоносный код прямо в APK-файле — в ресурсах или нативной библиотеке. Такой подход помогает обходить защиту Google Play. По данным Human Security, десятки приложений с Harly уже успели попасть в магазин, привлекая пользователей под видом популярных сервисов.

Новый уровень угрозы от трояна Anatsa

Особое внимание специалисты уделили банковскому трояну Anatsa (TeaBot). Его последняя версия значительно расширила число атакуемых приложений: теперь в зоне риска находятся 831 банковское и криптовалютное приложение против 650 ранее.

Злоумышленники распространяли Anatsa через приложение-приманку Document Reader – File Manager. После установки оно загружало вредоносный модуль, обходя проверку Google Play. Для маскировки троян применяет:

• битые APK-архивы, усложняющие статический анализ;

• шифрование строк на основе DES во время выполнения;

• обнаружение эмуляторов;

• регулярную смену имён пакетов и хешей.

Кроме того, Anatsa активно злоупотребляет функциями службы Accessibility Service, автоматически предоставляя себе расширенные привилегии. Это позволяет ему загружать фишинговые формы для более чем 800 сервисов и собирать произвольные данные через встроенный кейлоггер.

Общая тенденция и рекомендации пользователям

По словам исследователя Zscaler Химаншу Шармы, в последние месяцы зафиксирован резкий рост числа приложений с рекламным ПО в Google Play. При этом активность таких угроз, как Joker, Harly и Anatsa, продолжает расти, в то время как количество вредоносов других семейств, например Facestealer и Coper, постепенно снижается.

Для пользователей Android ключевыми рекомендациями остаются:

• скачивать приложения только от проверенных разработчиков;

• внимательно изучать разрешения, которые требует программа;

• регулярно обновлять систему безопасности и антивирусные решения;

• при малейших подозрениях — удалять приложение и сканировать устройство.

Итог: случай с удалением 77 вредоносных приложений из Google Play ещё раз подтверждает: даже официальный магазин не гарантирует полной безопасности. Трояны Joker, Harly и Anatsa становятся всё более изощрёнными, маскируются под популярные сервисы и атакуют банковские приложения. Поэтому внимательность и кибербезопасность — единственный надёжный способ защитить свои данные и финансы.