Setenta e sete aplicativos Android maliciosos, com mais de 19 milhões de instalações, estavam entregando múltiplas famílias de malware para usuários do Google Play.
Essa infiltração de malware foi descoberta pela equipe ThreatLabs da Zscaler durante uma investigação de uma nova onda de infecção com o trojan bancário Anatsa (também conhecido como Tea Bot) que tem como alvo dispositivos Android.
Embora a maioria dos aplicativos maliciosos (mais de 66%) incluísse componentes de adware, o malware Android mais comum foi o Joker, encontrado em quase 25% dos apps analisados.
Uma vez instalado, o malware Joker pode ler e enviar mensagens de texto, tirar screenshots, fazer chamadas telefônicas, roubar listas de contatos, acessar informações do dispositivo e inscrever os usuários em serviços pagos.
Uma porcentagem menor dos aplicativos continha maskware, um termo usado para descrever um app malicioso que se disfarça como algo que não levantaria suspeitas.
Esse tipo de malware pode se passar por um aplicativo legítimo que funciona conforme anunciado, mas realiza atividades maliciosas em segundo plano, como roubo de credenciais, informações bancárias ou outros dados sensíveis (localização, SMS).
Os cibercriminosos também podem usar maskware para entregar outros tipos de malware.
Os pesquisadores da Zscaler também encontraram uma variante do malware Joker chamada Harly, que se apresenta como um app legítimo, mas contém um payload malicioso oculto mais profundamente no código para evitar detecção durante o processo de revisão.
Em um relatório de março, pesquisadores da Human Security afirmaram que o Harly pode se esconder em aplicativos populares, como jogos, papéis de parede, lanternas e editores de fotos.
Segundo a Zscaler, a versão mais recente do trojan bancário Anatsa ampliou ainda mais seu escopo de ataque, aumentando o número de apps bancários e de criptomoedas visados para 831, ante 650 anteriormente, tentando roubar dados desses aplicativos.
Os operadores do malware usam um aplicativo chamado “Document Reader – File Manager” como isca, que só faz o download do payload malicioso do Anatsa após a instalação, para burlar a revisão de código do Google.
A campanha mais recente mudou do carregamento dinâmico de código remoto via DEX, usado anteriormente, para a instalação direta do payload, que é desempacotado a partir de arquivos JSON e depois excluído.
Em termos de técnicas de evasão, o malware utiliza arquivos APK malformados para quebrar análise estática, descriptografia de strings em tempo de execução baseada em DES, além de detecção de emulação.
Os nomes dos pacotes e os hashes também são alterados periodicamente.
No quesito capacidades, o Anatsa abusa das permissões de Accessibility no Android para conceder a si mesmo privilégios extensos automaticamente.
Ele busca páginas de phishing de seu servidor para mais de 831 apps, agora também incluindo Alemanha e Coreia do Sul, enquanto um módulo de keylogger também foi adicionado para roubo genérico de dados.
Essa campanha recente do Anatsa segue outra onda identificada pela ThreatFabric em julho, quando o trojan se infiltrou no Google Play disfarçado como um visualizador de PDF, chegando a mais de 50 mil downloads.
Campanhas anteriores do Anatsa incluem um ataque com PDF e QR Code Reader em maio de 2024 que atingiu 70 mil infecções, um ataque com Phone Cleaner e PDF em fevereiro de 2024 que obteve 150 mil downloads, além de outro ataque com PDF Viewer em março de 2023 que alcançou 30 mil instalações.
Além dos apps maliciosos contendo o Anatsa, a Zscaler descobriu que a maioria dos demais eram famílias de adware, seguidas por “Joker”, “Harly” e vários maskware.
“O ThreatLabz identificou uma forte elevação no número de aplicativos de adware no Google Play juntamente com malwares, como Joker, Harly e trojans bancários como o Anatsa,” explicou o pesquisador da Zscaler Himanshu Sharma.
“Por outro lado, houve uma queda perceptível em famílias de malware como Facestealer e Coper.”
Apps de ferramentas e de personalização representaram mais da metade das iscas usadas para disseminar esses apps, e por isso essas duas categorias, junto com entretenimento, fotografia e design, devem ser consideradas de alto risco.
No total, os 77 aplicativos maliciosos, incluindo os que continham Anatsa, foram baixados 19 milhões de vezes no Google Play.
A Zscaler relata que o Google removeu todos os apps maliciosos identificados nesta investigação da Play Store após o reporte.
Usuários Android devem assegurar que o serviço Play Protect esteja ativo em seus dispositivos para sinalizar e remover apps maliciosos.
No caso de infecções pelo trojan Anatsa, medidas adicionais devem ser tomadas diretamente com o banco para proteger possíveis contas de e-banking ou credenciais comprometidas.
Para minimizar riscos provenientes de malware loaders no Google Play, confie apenas em publishers reputados, leia pelo menos algumas avaliações de usuários e conceda permissões somente as diretamente relacionadas à funcionalidade principal do app.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...