Согласно отчетам, опубликованным ThreatFabric, ничего не подозревающие пользователи загрузили приложения для Android в Google Play Store, которые украли банковские реквизиты. Эти, казалось бы, безобидные приложения маскировались под QR-сканеры, криптовалютные кошельки и PDF-сканеры и злонамеренно крали конфиденциальные финансовые данные. Данные пользователя, такие как пароли, коды двухфакторной аутентификации, регистрируемые пользователем нажатия клавиш и многое другое, в конечном итоге были украдены этими приложениями, которые в основном подпадают под четыре семейства вредоносных программ, а именно Anatsa, Alien, Hydra и Ermac. Google пытается решить эту проблему, вводя ряд ограничений, направленных на ограничение распространения таких приложений. Это, в свою очередь, побудило разработчиков этих вредоносных программ к разработке оригинальных методов обхода ограничений безопасности Google Play Store.
Как поясняет ThreatFabric, вредоносный контент не вводится напрямую через Google Play Store, поэтому избегая обнаружения. Эти приложения соблазняют пользователей загружать дополнительные обновления из сторонних источников. Киберпреступники зашли так далеко, что вручную инициировали загрузку таких обновлений после отслеживания местоположения устройств, на которых были загружены эти приложения.
Некоторые из вредоносных приложений, выявленных экспертами по кибербезопасности, включают QR-сканер, QR-сканер 2021, двухфакторный аутентификатор, Protection Guard, QR CreatorScanner, Master Scanner Live, CryptoTracker, PDF-сканер документов, PDF-сканер документов бесплатно и тренажерный зал и фитнес-тренер.
Из четырех основных семейств вредоносных программ, Антаса возглавляет список с более чем 100 000 загрузок. Большое количество загрузок и хороших отзывов, а также достойная функциональность самих приложений придали им видимость легитимности. Однако после загрузки из Google Play Store эти приложения побуждали пользователей загружать дополнительный сторонний контент для использования. Оказалось, что это вредоносная программа, которая после установки смогла украсть конфиденциальную финансовую информацию и зафиксировать всю активность на экране устройства.
В апрельском сообщение в блоге Google, компания подробно описала меры, которые они принимают для противодействия подобным вредоносные приложения, включая ограничение доступа разработчиков к конфиденциальной информации. Однако, согласно июльскому тесту, проведенному немецким институтом ИТ-безопасности AV-Test, Google Play Protect не обеспечивает достаточного уровня безопасности, особенно по сравнению с известными антивирусными программами на рынке. Было протестировано около 20 000 вредоносных приложений, из которых удалось обнаружить лишь около двух третей.