Как отметили в компании, приложения загружают вредоносный компонент при работе в определенных регионах, в том числе в РФ. Среди российских банков, данные чьих приложений отслеживаются вирусом, оказались Сбербанк, Тинькофф-банк, «Уралсиб», Почта-банк... Опасные приложения мимикрируют под сканеры документов и QR-кодов.
Исследователи выделили три группы вредоносных ПО в зависимости от кода, который они загружают. Так, Anatsa нацелена на Россию, а также США, Великобританию, Австрию и другие страны.
Эти приложения установили более 200 тысяч раз. Одно и них - сканер QR-кодов от издателя QrBarBode LDC. Его скачали свыше 50 тысяч раз. По данным ThreatFactor, эти приложения работают именно так, как указано в описании, а на их страницах оставляют положительные отзывы.
После того, как приложение попадает в гаджет, оно определяет, нужно ли загружать в телефон вирус. Если условия этому соответствуют, то программа просит пользователя скачать обновление, а также предоставить разрешение на установку неизвестных приложений.
Тогда на телефон загружается именно вредоносный код. Вирус проходит проверки в «Play Маркете», поскольку загружается отдельно от приложения.