Сканер QR-кодов в Google Play крадёт данные российских банковских приложений
Приложения выполняют свою функцию, но параллельно загружают вредоносный код.
Исследователи ThreatFactor обнаружили три типа вредоносных приложений, которые размещаются в Google Play и способны обходить механизмы «Play Защиты». Среди них — сканер QR-кодов, который способен получить данные приложений российских банков.
Приложение Free QR Сode Scanner от издателя QrBarBode LDC оснащено трояном Anatsa. Он способен получить информацию с экрана и клавиатуры устройства. Среди целей Free QR Сode Scanner — приложения российских банков: «Тинькофф», «Сбербанк Онлайн», «ОТП Банк», «Почта Банк», «Мобильный банк УРАЛСИБ», VTB-Online, «Мой банк» белорусского «МТБанка».
Free QR Сode Scanner выполняет заявленные функции, но при определённых условиях загружает вредоносный компонент извне в виде обновления, спросив у пользователя разрешение на установку приложений из неизвестных источников. Это позволяет ему обходить проверки «Play Защиты». У приложения свыше 50 000 установок, есть положительные отзывы.
Другие найденные атаки — Alien и Hydra/Ermac — ориентированы на другие страны, включая США, Испанию, Польшу и Турцию. На текущий момент вредоносные приложения удалены из Google Play.