Кампания по борьбе с вредоносным ПО для мобильных устройств Anatsa

Исследователи кибербезопасности обнаружили новую волну вредоносных банковских атак на Android, организованных трояном Anatsa. Эта сложная угроза, также известная как TeaBot или Toddler, вновь проявилась в виде кампании, нацеленной на пользователей в США и Канаде и использующей обманные приемы с использованием якобы легитимных приложений, опубликованных в магазине Google Play.

Вредоносное ПО, маскирующееся под инструменты для работы с документами

В центре кампании находится приложение-дроппер, замаскированное под утилиту под названием «Просмотрщик документов – Читатель файлов» (APK-пакет: «com.stellarastra.maintainer.astracontrol_managerreadercleaner»). Выдавая себя за безобидный PDF-инструмент, приложение было опубликовано разработчиком под именем «Hybrid Cars Simulator, Drift & Racing», название которого само по себе вызывает подозрения. После того, как приложение набрало значительное количество загрузок, в него был вмонтирован вредоносный код, который загружал и устанавливал Anatsa на устройства жертв.

Это приложение было запущено 7 мая 2025 года и к 29 июня 2025 года достигло четвёртой позиции в категории «Лучшие бесплатные инструменты». К тому времени оно набрало около 90 000 загрузок, прежде чем было удалено. Google подтвердил удаление этого приложения и связанной с ним учётной записи разработчика из Play Store.

Скрытые стратегии и знакомые схемы действий

Кампания «Анатса» следует проверенному циклу:

Развертывание легального приложения : загрузите чистое, полностью функциональное приложение в Play Store.

Отложенное заражение : после создания большой базы пользователей распространите обновление, содержащее вредоносный код.

Тихая установка : вредоносное ПО устанавливается как отдельное приложение, скрытое от исходного пакета.

Назначение цели : он получает список финансовых учреждений для атаки, динамически извлекаемый с внешнего сервера.

Эта многоэтапная атака — часть стратегии устойчивого успеха Анатсы. Неактивная на ранних этапах и активирующаяся только после завоевания доверия и охвата, кампания избегает раннего обнаружения и достигает максимального эффекта в течение короткого, но эффективного периода распространения, в данном случае с 24 по 30 июня 2025 года.

Расширенные возможности для финансового мошенничества

После установки Anatsa позволяет осуществлять ряд вредоносных действий, направленных на финансовую эксплуатацию:

• Кража учетных данных посредством атак с наложением данных и кейлоггерства.
• Мошенничество с захватом устройства (DTO) для инициирования транзакций непосредственно с устройства пользователя.

• Воспрепятствование действиям пользователей с помощью поддельных уведомлений о техническом обслуживании, которые блокируют доступ к легитимным банковским приложениям и задерживают обнаружение.

Эти наложения заставляют пользователей думать, что приложение их банка временно недоступно для технического обслуживания, хотя на самом деле учетные данные похищаются и потенциально используются для несанкционированных транзакций.

Глобальная эволюция угрозы Анаца

Впервые обнаруженный в 2020 году, вирус Anatsa значительно эволюционировал. Ранее, в 2024 году, он атаковал пользователей в Словакии, Словении и Чехии, используя схожую тактику: безобидные приложения становились вредоносными уже через несколько недель после первоначального запуска. Способность вредоносного ПО адаптироваться и расширять географию своего распространения подчёркивает его постоянную угрозу для клиентов мобильного банкинга по всему миру.

Последняя североамериканская кампания отражает растущий интерес Anatsa к финансовым учреждениям США и Канады, а также ее способность быстро менять стратегию и повторно использовать успешные методы атак с небольшими изменениями.

Защитные меры и реакция отрасли

Организациям сектора финансовых услуг настоятельно рекомендуется:

• Отслеживайте подозрительную активность, исходящую с мобильных устройств.
• Просвещайте клиентов об опасностях поддельных оверлеев приложений и несанкционированных обновлений.
• Укрепите механизмы аутентификации для выявления мошенничества даже в случае компрометации учетных данных.

Основные сигналы опасности для пользователей:

• Приложения, запрашивающие необычные разрешения после обновлений.
• Внезапное появление надписей «обслуживание» в банковских приложениях.
• Несоответствия в названии разработчика приложения или категории приложения.

Компания Google заявила, что вредоносные приложения, участвовавшие в этой кампании, были удалены из магазина Google Play.

Заключительные мысли

Кампания Anatsa — яркое напоминание о том, как быстро можно эксплуатировать доверие в цифровых экосистемах. Внедрившись в доверенную среду Google Play, вредоносное ПО успешно проникло на тысячи устройств. Постоянное обучение, проактивный мониторинг безопасности и здоровая доля скептицизма остаются лучшей защитой от подобных постоянно меняющихся угроз.