Mais de 90 aplicativos Android maliciosos foram encontrados instalados mais de 5,5 milhões de vezes por meio do Google Play para entregar malware e adware, com o trojan bancário Anatsa apresentando um recente aumento na atividade.
Anatsa (também conhecido como "Teabot") é um trojan bancário que tem como alvo mais de 650 aplicativos de instituições financeiras na Europa, EUA, Reino Unido e Ásia.
Ele tenta roubar credenciais de e-banking das pessoas para realizar transações fraudulentas.
Em fevereiro de 2024, a Threat Fabric relatou que, desde o final do ano passado, o Anatsa havia conseguido pelo menos 150.000 infecções via Google Play usando vários aplicativos de fachada na categoria de software de produtividade.
Hoje, a Zscaler relata que o Anatsa retornou à loja oficial de apps do Android e agora é distribuído via dois aplicativos de fachada: 'PDF Reader & File Manager' e 'QR Reader & File Manager'.
No momento da análise da Zscaler, os dois aplicativos já haviam acumulado 70.000 instalações, demonstrando o alto risco de aplicativos dropper maliciosos passarem despercebidos no processo de revisão do Google.
Uma coisa que ajuda os aplicativos dropper do Anatsa a evitar a detecção é o mecanismo de carregamento de payload em múltiplas etapas que envolve quatro passos distintos:
1.O aplicativo dropper recupera a configuração e strings essenciais do servidor C2.
2.O arquivo DEX contendo o código dropper malicioso é baixado e ativado no dispositivo.
3.Arquivo de configuração com a URL do payload do Anatsa é baixado.
4.O arquivo DEX busca e instala o payload do malware (APK), completando a infecção.
O arquivo DEX também realiza verificações anti-análise para garantir que o malware não será executado em sandboxes ou ambientes de emulação.
Uma vez que o Anatsa está funcionando no dispositivo recém-infectado, ele faz upload da configuração do bot e dos resultados da varredura do aplicativo e, então, baixa as injeções que correspondem à localização e ao perfil da vítima.
A Zscaler relata que, nos últimos meses, também descobriu mais de 90 aplicativos maliciosos no Google Play, que foram instalados coletivamente 5,5 milhões de vezes.
A maioria dos aplicativos maliciosos se passava por ferramentas, aplicativos de personalização, utilitários de fotografia, produtividade e apps de saúde & fitness.
As cinco famílias de malware dominando a cena são Joker, Facestealer, Anatsa, Coper e vários adwares.
Embora Anatsa e Coper representem apenas 3% do total de downloads maliciosos do Google Play, eles são muito mais perigosos do que os outros, capazes de realizar fraudes no dispositivo e roubar informações sensíveis.
Ao instalar novos apps no Google Play, revise as permissões solicitadas e recuse aquelas associadas a atividades de alto risco, como Serviço de Acessibilidade, SMS e lista de contatos.
Os pesquisadores não divulgaram os nomes dos mais de 90 apps e se eles foram reportados ao Google para remoção.
Contudo, os dois aplicativos dropper do Anatsa descobertos pela Zscaler foram removidos do Google Play.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...