Segundo a Zscaler, foram encontrados mais de 90 apps maliciosos na Google Play, instalados mais de 5,5 milhões de vezes.
Mais de 90 aplicativos Android maliciosos foram instalados mais de 5,5 milhões de vezes através do Google Play para entregar malware e adware, com o trojan bancário Anatsa tendo um aumento recente na atividade.
Encontrados mais de 90 apps maliciosos na Google Play
Anatsa (também conhecido como “Teabot”) é um trojan bancário que tem como alvo mais de 650 aplicações de instituições financeiras na Europa, nos EUA, no Reino Unido e na Ásia. Ele tenta roubar as credenciais bancárias eletrônicas das pessoas para realizar transações fraudulentas.
Em fevereiro de 2024, o Threat Fabric informou que desde o final do ano passado, a Anatsa alcançou pelo menos 150.000 infecções via Google Play usando vários aplicativos chamariz na categoria de software de produtividade.
Agora, a Zscaler relata que Anatsa retornou à loja de aplicativos oficial do Android e agora é distribuído por meio de dois aplicativos chamariz: ‘PDF Reader & File Manager’ e ‘QR Reader & File Manager’.
No momento da análise do Zscaler, os dois aplicativos já haviam acumulado 70.000 instalações, demonstrando o alto risco de aplicativos conta-gotas maliciosos escaparem das brechas no processo de revisão do Google.
Uma coisa que ajuda os aplicativos dropper Anatsa a evitar a detecção é o mecanismo de carregamento de carga útil em vários estágios que envolve quatro etapas distintas:
- O aplicativo Dropper recupera configuração e strings essenciais do servidor C2
- O arquivo DEX contendo código dropper malicioso é baixado e ativado no dispositivo
- O arquivo de configuração com URL de carga útil do Anatsa foi baixado
- O arquivo DEX busca e instala a carga útil do malware (APK), completando a infecção
O arquivo DEX também realiza verificações anti-análise para garantir que o malware não será executado em sandboxes ou ambientes de emulação.
Assim que o Anatsa estiver instalado e funcionando no dispositivo recém-infectado, ele carrega a configuração do bot e os resultados da verificação do aplicativo e, em seguida, baixa as injeções que correspondem à localização e ao perfil da vítima.
Outras ameaças do Google Play
Zscaler relata que durante os últimos meses também descobriu mais de 90 aplicativos maliciosos no Google Play, que foram instalados coletivamente 5,5 milhões de vezes.
A maioria dos aplicativos maliciosos representava ferramentas, aplicativos de personalização, utilitários de fotografia, produtividade e aplicativos de saúde e fitness.
As cinco famílias de malware que dominam o cenário são Joker, Facestealer, Anatsa, Coper e vários adwares.
Tipos de malware e aplicativos dropper do Google Play
Embora Anatsa e Coper representem apenas 3% do total de downloads maliciosos do Google Play, eles são muito mais perigosos que os outros, capazes de realizar fraudes no dispositivo e roubar informações confidenciais.
Ao instalar novos aplicativos no Google Play, revise as permissões solicitadas e recuse aquelas associadas a atividades de alto risco, como Serviço de Acessibilidade, SMS e lista de contatos.
Os pesquisadores não divulgaram os nomes dos mais de 90 aplicativos e se eles foram denunciados ao Google para remoção.
No entanto, no momento em que este artigo foi escrito, os dois aplicativos conta-gotas Anatsa descobertos pelo Zscaler foram removidos do Google Play.