Zscaler a descoperit o serie de aplicații malițioase pe Google Play care au fost instalate de peste 19 milioane de ori și care livrau mai multe familii de malware utilizatorilor Android. Investigația a pornit de la o nouă vală de infectări cu troianul bancar Anatsa (cunoscut și ca Tea Bot), iar pe parcurs cercetătorii au identificat 77 de aplicații compromise.
Majoritatea acestor aplicații, peste 66%, conțineau componente de tip adware, adică reclame invazive și urmăritori, dar cel mai des întâlnit program malițios a fost Joker, prezent în aproape 25% din aplicațiile analizate. Odată instalat, Joker poate citi și trimite mesaje text, face capturi de ecran, iniția apeluri, fura lista de contacte, colecta informații despre dispozitiv și abona utilizatorii la servicii premium fără consimțământul lor. Pe scurt, nu e genul de asistent pe care ți-l dorești în telefon.
O parte mai mică dintre aplicații foloseau ceea ce cercetătorii numesc maskware, adică aplicații care se deghizează în programe legitime: par să facă ce promit, dar în fundal fură credențiale, informații bancare sau date sensibile precum locația și SMS-urile. Atunci când e nevoie de un „ajutor” pentru a livra și alte tipuri de malware, maskware-ul e util infractorilor cibernetici.
Cercetătorii Zscaler au găsit și o variantă a Joker numită Harly. Aceasta se prezintă ca o aplicație legitimă, dar are un payload malițios ascuns mai adânc în cod, tocmai ca să treacă neobservată la revizuirea din magazin. Un raport anterior al Human Security arăta că Harly poate căpăta forma unor aplicații populare ca jocuri, tapeturi, lanterne sau editoare foto.
Anatsa, troianul bancar, a evoluat
Echipa Zscaler arată că Anatsa și-a extins aria de atac: numărul aplicațiilor bancare și de criptomonede vizate a crescut la 831, de la 650 anterior. Operatorii folosesc aplicații capcană precum Document Reader – File Manager, care pare legitimă la instalare, dar descarcă ulterior payload-ul Anatsa pentru a ocoli verificările Google.
Campania curentă a renunțat la încărcarea dinamică a codului prin DEX și trece la instalare directă a payload-ului, despachetându-l din fișiere JSON pe care apoi le șterge. Pentru a evita detectarea, atacatorii folosesc arhive APK corupte pentru a împiedica analiza statică, decriptează șiruri cu DES la runtime și detectează medii de emulare. Numele pachetelor și hash-urile se schimbă periodic.
Din punct de vedere al permisiunilor, Anatsa abuzează de accesul Accessibility pe Android pentru a-și acorda automat privilegii extinse. De pe serverul său, troianul încarcă pagini de phishing pentru cele peste 831 de aplicații vizate, acoperind acum și Germania și Coreea de Sud. A fost adăugat și un modul de keylogging pentru furt generic de date.
Această campanie urmează valuri recente în care Anatsa a intrat în Play Store, deghizat, sub formă de vizualizatoare PDF sau aplicații de curățare, obținând zeci de mii de descărcări în diverse cazuri din 2023 și 2024.
Valul de aplicații malițioase de pe Play Store
Pe lângă aplicațiile care conțineau Anatsa, Zscaler a identificat multe aplicații care livrau adware, urmate de Joker, Harly și diverse variante de maskware. Cercetătorii au observat o creștere a aplicațiilor cu adware, în timp ce familii de malware precum Facestealer și Coper au scăzut.
Majoritatea capcanelor erau aplicații din categoria Tools și Personalization, împreună cu cele de divertisment, fotografie și design, aceste categorii ar trebui tratate ca fiind cu risc ridicat atunci când cauți aplicații noi. În total, cele 77 de aplicații malițioase au strâns circa 19 milioane de descărcări.
După raportarea cazurilor, Google a eliminat aplicațiile identificate de Zscaler din Play Store. Totuși, utilizatorii trebuie să rămână vigilenți: e important ca Play Protect să fie activ pe dispozitive pentru a semnala aplicațiile suspecte. Dacă un dispozitiv este infectat cu Anatsa, pe lângă curățarea telefonului, este recomandat să iei legătura cu banca pentru a proteja conturile și credențialele posibil compromise.
Ca măsuri practice de reducere a riscului: acordă atenție publisherilor reputați, citește câteva recenzii înainte de instalare și oferă aplicațiilor doar permisiunile necesare funcției lor de bază. Nu e o rețetă completă, dar reduce semnificativ șansele să te trezești cu o aplicație care te crede contul tău bancar preferat.
Ce părere ai despre verificările magazinelor de aplicații: crezi că ar trebui întărite sau rămân suficient de bune pentru moment?
Sursa text și foto: bleepingcomputer.com
ce prostie, câți au instalat porcăria asta… daaar, bine că s-a luat jos, sper să fi scos și datele mele, ms.