Recent, peste 90 de aplicații Android malitioase au fost descoperite pe Google Play, acestea fiind instalate de peste 5,5 milioane de ori. Aceste aplicații au fost folosite pentru a distribui malware și adware, iar troianul bancar Anatsa a înregistrat o creștere alarmantă a activității.
Anatsa, cunoscut și sub numele de “Teabot”, este un troian bancar pentru Android care vizează peste 650 de aplicații ale instituțiilor financiare din Europa, SUA, Marea Britanie și Asia. Acesta încearcă să fure acreditările de e-banking ale utilizatorilor pentru a efectua tranzacții frauduloase.
În februarie 2024, Threat Fabric a raportat că, de la sfârșitul anului trecut, Anatsa a infectat cel puțin 150.000 de dispozitive Android prin intermediul unor aplicații de productivitate aparent inofensive.
Astăzi, cercetătorii de la Zscaler au anunțat că Anatsa a revenit pe Google Play și este distribuit prin două aplicații momeală: „PDF Reader & File Manager” și „QR Reader & File Manager”. La momentul analizei, aceste aplicații acumulaseră deja 70.000 de instalări, evidențiind riscul major al aplicațiilor rău intenționate care reușesc să treacă de procesul de revizuire al Google.
Ce face ca aplicațiile dropper Anatsa să fie deosebit de periculoase pentru telefoanele Android este mecanismul lor de încărcare a sarcinii utile în mai multe etape. Acest proces implică patru pași distincti:
- Aplicația dropper preia configurația și șirurile esențiale de pe serverul C2.
- Fișierul DEX care conține codul dropper rău intenționat este descărcat și activat pe dispozitiv.
- Fișierul de configurare cu adresa URL a încărcăturii utile Anatsa este descărcat.
- Fișierul DEX preia și instalează încărcătura utilă a programelor malware (APK), completând infecția.
Fișierul DEX efectuează, de asemenea, verificări anti-analiza pentru a se asigura că malware-ul nu va fi executat în sandbox-uri sau medii de emulare. Odată ce Anatsa funcționează pe dispozitivul nou infectat, acesta încarcă configurația botului și rezultatele scanării aplicației, apoi descarcă injecțiile care se potrivesc cu locația și profilul victimei.
Zscaler raportează că, în ultimele două luni, a descoperit peste 90 de aplicații Android rău intenționate pe Google Play, care au fost instalate colectiv de 5,5 milioane de ori. Cele mai multe dintre aceste aplicații au uzurpat instrumente, aplicații de personalizare, utilitare de fotografie, productivitate și aplicații de sănătate și fitness. Cele cinci familii de malware care domină scena sunt Joker, Facestealer, Anatsa, Coper și diverse adware.
Deși Anatsa și Coper reprezintă doar 3% din totalul descărcărilor rău intenționate de pe Google Play, ele sunt mult mai periculoase decât celelalte, fiind capabile să facă fraude pe dispozitiv și să fure informații sensibile.
Pentru a vă proteja, este esențial să examinați permisiunile solicitate de aplicațiile Android pe care le instalați și să refuzați pe cele asociate cu activități cu risc ridicat, cum ar fi Serviciul de accesibilitate, SMS-urile și lista de contacte.
Cercetătorii nu au dezvăluit numele celor peste 90 de aplicații și nu este clar dacă acestea au fost raportate la Google pentru eliminare. Cu toate acestea, la momentul scrierii acestui articol, cele două aplicații dropper Anatsa descoperite de Zscaler au fost eliminate de pe Google Play.
Rămâneți vigilenți și protejați-vă dispozitivele Android prin instalarea de aplicații doar din surse de încredere și prin utilizarea unui software antivirus eficient.