В Google Play устранили 77 опасных приложений — их скачали 19 млн раз
19 миллионов зараженных: как трояны Joker и Anatsa обходят защиту Google Play (и что с этим делать)
Представьте: вы скачиваете фонарик или ридер документов из официального магазина. Всё работает. А в фоне приложение аккуратно сливает ваши SMS, пароли от банка и подписывает на платные услуги. Именно это произошло с 19 миллионами пользователей Android.
Zscaler ThreatLabs выявила 77 вредоносных приложений в Google Play. Их уже удалили. Но осадок остался — и это только верхушка айсберга. Разберемся, как работают главные угрозы: Joker, Harly и Anatsa. И главное — как не стать следующей жертвой.
Три кита заразы: Joker, Harly и Anatsa
Joker — старый знакомый. Он ворует SMS, контакты, делает скриншоты, может звонить. Обнаружен почти в каждом четвертом вредоносе. Но его младший брат Harly — хитрее. Harly не качает код с сервера. Он хранит его прямо внутри установочного файла (APK) в зашифрованном виде. Проверка Google Play его не берет — статический анализ видит пустышку.
Anatsa (он же Tea Bot) — банковский троян. Сейчас атакует 831 приложение банков и криптокошельков. Раньше было 650. Рост — 28%. Злоумышленники используют приманку: легитимный на вид Document Reader. После установки он загружает настоящий троян с сервера. Классическая матрешка.
Интересный факт: 66% всех удаленных приложений содержали adware — навязчивую рекламу. Кажется, что это мелочь, но adware часто открывает дверь для более опасных гостей. Недооценивать их нельзя.
Как они прячутся? Технические трюки, о которых молчат в гайдах
Разработчики троянов — люди с инженерным складом ума. Они используют битые APK-архивы. Это файлы, которые Android все равно устанавливает, но статический анализатор падает с ошибкой. Плюс шифрование строк (DES) в рантайме. Код разворачивается только при запуске на реальном устройстве.
Еще одна любимая уязвимость — Accessibility Service (сервис специальных возможностей). Троян запрашивает разрешение «для удобства», а потом автоматически нажимает кнопки, подтверждает подписки, заполняет фишинговые формы. Вы этого даже не видите.
Anatsa дополнительно проверяет, не запущен ли эмулятор. Если да — не активируется. Меняет имена пакетов и хеши после каждой установки. Обнаружить его ретроспективно — задача для экспертов с логами.
| Троян | Способ заражения | Цели | Сложность обнаружения |
|---|---|---|---|
| Joker | Загрузка кода с сервера | SMS, подписки, контакты | Средняя |
| Harly | Шифрованный код внутри APK | Подписки, кража данных | Высокая |
| Anatsa | Многоэтапная загрузка (Document Reader) | Банки, крипта, фишинг, кейлоггинг | Очень высокая |
Пошаговый совет: как защитить телефон прямо сейчас
Никакая защита не даст 100% гарантии, но эти пять шагов отсекут 90% угроз.
- Проверяйте разрешения. Если фонарик просит доступ к контактам и SMS — уносите ноги. Легитимное приложение не требует Accessibility Service без причины.
- Смотрите на издателя. Мало загрузок? Имя выглядит как «DevTools123»? Это красный флаг. Скачивайте только приложения с верифицированным аккаунтом разработчика.
- Не давайте «особые возможности» подозрительным приложениям. Это ключ к вашему телефону. Если программа просит его включить, а вы не понимаете зачем — отказывайте.
- Обновляйте Play Protect. Да, он не идеален, но базовые сигнатуры ловит. Включите автоматическое сканирование приложений.
- Используйте второй фактор. Для банков и крипты — обязательно. Даже если троян украдет логин и пароль, без кода из SMS или TOTP он не войдет.
Личное наблюдение автора: недавно я заметил, что многие друзья устанавливают «обои» из Play Market, не глядя на разрешения. А зря — именно такие простые приложения чаще всего служат маскировкой для Harly. Проверьте свои установки — и удалите всё, что не пользуетесь годами.
Мое мнение: Google Play — это рынок, а не крепость
Многие думают: «раз в официальном магазине — значит безопасно». Это опасное заблуждение. Google проверяет приложения, но автоматически. Хитрые методы (битые APK, шифрование, многоэтапная загрузка) обходят эту проверку. Человек в цикле — только вы.
Я считаю, что ответственность за безопасность лежит на пользователе. Google может только закрывать дыры постфактум. 19 миллионов установок — это не сбой системы, это доверчивость людей. Будьте чуть параноидальнее — это сэкономит вам деньги и нервы.
Итог от автора. Трояны не исчезнут. Они будут становится умнее. Но если вы следуете простым правилам (не давать лишних разрешений, проверять разработчика, не кликать на всё подряд), шанс подхватить заразу падает в разы. Установите себе правило: перед установкой любого приложения делать паузу на 10 секунд и задавать вопрос «зачем ему мои контакты?». Эта привычка уже спасала меня не раз.
