Специалисты по информационной безопасности обнаружили в магазине Google Play ряд приложений, сообщает Arstechnica. Их скачали более 300000 раз и они оказались банковскими троянами. Программы крали пароли и коды двухфакторной аутентификации, записывали ввод с клавиатуры и делали скриншоты.

Приложения выдавали себя за QR-сканеры, PDF-сканеры и криптовалютные кошельки. Они принадлежат к четырём разным семействам вредоносных Android-приложений, которые распространялись на протяжении более четырёх месяцев. В них использовались разные методы для обхода ограничений магазина Google. В частности, задействовали ограничения сервисов специальных возможностей для людей с проблемами со зрением. Они разрешают автоматическую установку приложений без согласия пользователей.

Алгоритмы машинного обучения испытывают трудности с обнаружением этих программ, поскольку вредоносного кода в них мало, пишут специалисты компании ThreatFabric. Поначалу обычно устанавливается чистое приложение. Пользователи получают сообщение с запросом на скачивание обновлений для расширения функциональности. Зачастую эти обновления скачиваются из сторонних источников. Суть в том, что пользователи уже начинают доверять этим приложениям. Большинство из них проходят проверку на VirusTotal.

Иногда злоумышленники вручную устанавливают вредоносные обновления после проверки местоположения устройства. Это тоже позволяет избежать обнаружения.

Больше всего заражений выполнило семейство вредоносных приложений Anatsa. Это продвинутый банковский Android-троян с возможностью дистанционного доступа и автоматическим выводом денег с аккаунтов жертв. Три других семейства вредоносных программ называются Alien, Hydra, Ermac. Ниже приведён список из 12 вредоносных приложений.

Несмотря на все усилия и огромные возможности Google, полностью избежать попадания вредоносных программ в магазин не удаётся. Пользователям перед установкой рекомендуется смотреть оценки и читать все отзывы на приложения. Если программа не нужна, рекомендуется удалять её с устройства.