Trojan ataca Google Play
29 de Maio de 2024

Mais de 90 aplicativos Android maliciosos foram encontrados instalados mais de 5,5 milhões de vezes por meio do Google Play para entregar malware e adware, com o trojan bancário Anatsa apresentando um recente aumento na atividade.

Anatsa (também conhecido como "Teabot") é um trojan bancário que tem como alvo mais de 650 aplicativos de instituições financeiras na Europa, EUA, Reino Unido e Ásia.

Ele tenta roubar credenciais de e-banking das pessoas para realizar transações fraudulentas.

Em fevereiro de 2024, a Threat Fabric relatou que, desde o final do ano passado, o Anatsa havia conseguido pelo menos 150.000 infecções via Google Play usando vários aplicativos de fachada na categoria de software de produtividade.

Hoje, a Zscaler relata que o Anatsa retornou à loja oficial de apps do Android e agora é distribuído via dois aplicativos de fachada: 'PDF Reader & File Manager' e 'QR Reader & File Manager'.

No momento da análise da Zscaler, os dois aplicativos já haviam acumulado 70.000 instalações, demonstrando o alto risco de aplicativos dropper maliciosos passarem despercebidos no processo de revisão do Google.

Uma coisa que ajuda os aplicativos dropper do Anatsa a evitar a detecção é o mecanismo de carregamento de payload em múltiplas etapas que envolve quatro passos distintos:

1.O aplicativo dropper recupera a configuração e strings essenciais do servidor C2.

2.O arquivo DEX contendo o código dropper malicioso é baixado e ativado no dispositivo.

3.Arquivo de configuração com a URL do payload do Anatsa é baixado.

4.O arquivo DEX busca e instala o payload do malware (APK), completando a infecção.

O arquivo DEX também realiza verificações anti-análise para garantir que o malware não será executado em sandboxes ou ambientes de emulação.

Uma vez que o Anatsa está funcionando no dispositivo recém-infectado, ele faz upload da configuração do bot e dos resultados da varredura do aplicativo e, então, baixa as injeções que correspondem à localização e ao perfil da vítima.

A Zscaler relata que, nos últimos meses, também descobriu mais de 90 aplicativos maliciosos no Google Play, que foram instalados coletivamente 5,5 milhões de vezes.

A maioria dos aplicativos maliciosos se passava por ferramentas, aplicativos de personalização, utilitários de fotografia, produtividade e apps de saúde & fitness.

As cinco famílias de malware dominando a cena são Joker, Facestealer, Anatsa, Coper e vários adwares.

Embora Anatsa e Coper representem apenas 3% do total de downloads maliciosos do Google Play, eles são muito mais perigosos do que os outros, capazes de realizar fraudes no dispositivo e roubar informações sensíveis.

Ao instalar novos apps no Google Play, revise as permissões solicitadas e recuse aquelas associadas a atividades de alto risco, como Serviço de Acessibilidade, SMS e lista de contatos.

Os pesquisadores não divulgaram os nomes dos mais de 90 apps e se eles foram reportados ao Google para remoção.

Contudo, os dois aplicativos dropper do Anatsa descobertos pela Zscaler foram removidos do Google Play.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...