Wykryto ponad 90 złośliwych aplikacji na Androida, które zostały zainstalowane ponad 5,5 miliona razy w Google Play w celu dostarczania złośliwego oprogramowania i oprogramowania reklamowego, przy czym ostatnio wzrosła aktywność trojana bankowego Anatsa.
Anatsa (znany również jako „Teabot”) to trojan bankowy atakujący ponad 650 aplikacji instytucji finansowych w Europie, USA, Wielkiej Brytanii i Azji. Próbuje kraść dane uwierzytelniające użytkowników bankowości elektronicznej w celu przeprowadzania oszukańczych transakcji.
W lutym 2024 r. Zgłoszono zagrożenie Fabric że od końca ubiegłego roku Anatsa dokonał co najmniej 150 000 infekcji w Google Play przy użyciu różnych aplikacji-wabików z kategorii oprogramowania zwiększającego produktywność.
Dzisiaj, Raporty Zscalera że Anatsa powróciła do oficjalnego sklepu z aplikacjami na Androida i jest obecnie dystrybuowana za pośrednictwem dwóch aplikacji-wabików: „Czytnik PDF i menedżer plików” oraz „Czytnik QR i menedżer plików”.
źródło: Zscaler
W momencie analizy Zscalera obie aplikacje zgromadziły już 70 000 instalacji, co wskazuje na wysokie ryzyko, że złośliwe aplikacje prześlizgną się przez luki w procesie weryfikacji Google.
Jedną z rzeczy, która pomaga aplikacjom dropperów Anatsa uniknąć wykrycia, jest wieloetapowy mechanizm ładowania ładunku, który obejmuje cztery różne kroki:
- Aplikacja Dropper pobiera konfigurację i niezbędne ciągi znaków z serwera C2
- Na urządzeniu pobierany i aktywowany jest plik DEX zawierający złośliwy kod droppera
- Pobierany jest plik konfiguracyjny z adresem URL ładunku Anatsa
- Plik DEX pobiera i instaluje ładunek złośliwego oprogramowania (APK), kończąc infekcję
źródło: Zscaler
Plik DEX przeprowadza również kontrole antyanalizacyjne, aby upewnić się, że złośliwe oprogramowanie nie zostanie uruchomione w piaskownicach lub środowiskach emulujących.
Gdy Anatsa uruchomi się na nowo zainfekowanym urządzeniu, przesyła konfigurację bota i wyniki skanowania aplikacji, a następnie pobiera zastrzyki odpowiadające lokalizacji i profilowi ofiary.
źródło: Zscaler
Inne zagrożenia Google Play
Zscaler podaje, że w ciągu ostatnich kilku miesięcy odkrył także ponad 90 szkodliwych aplikacji w Google Play, które łącznie zostały zainstalowane 5,5 miliona razy.
Większość złośliwych aplikacji podszywa się pod narzędzia, aplikacje do personalizacji, narzędzia fotograficzne, aplikacje zwiększające produktywność oraz aplikacje związane ze zdrowiem i fitnessem.
Pięć rodzin złośliwego oprogramowania dominujących na tej scenie to Joker, Facestealer, Anatsa, Coper i różne oprogramowanie reklamowe.
źródło: Zscaler
Chociaż Anatsa i Coper stanowią jedynie 3% wszystkich złośliwych pobrań z Google Play, są one znacznie bardziej niebezpieczne niż inne, ponieważ mogą dokonywać oszustw na urządzeniu i kraść poufne informacje.
Instalując nowe aplikacje w Google Play, przejrzyj wymagane uprawnienia i odrzuć te związane z działaniami wysokiego ryzyka, takimi jak usługa ułatwień dostępu, SMS-y i lista kontaktów.
Badacze nie ujawnili nazw ponad 90 aplikacji ani tego, czy zostały zgłoszone Google w celu usunięcia.
Jednak w chwili pisania tego tekstu dwie aplikacje z kroplomierzem Anatsa wykryte przez Zscaler zostały usunięte z Google Play.
