90+ Android-Apps mit Banking-Malware im Play Store gefunden – 5,5 Millionen Installationen

Sicherheitsforscher von Zscaler ThreatLabz haben mehr als 90 bösartige Android-Apps identifiziert und analysiert, die in den letzten Monaten über 5,5 Millionen Mal aus dem Google Play Store heruntergeladen wurden.

Diese bösartigen Apps liefern Malware und Adware, einschließlich des Anatsa-Banking-Trojaners, der einen jüngsten Anstieg der Aktivität verzeichnet hat.

Laut dem Cloud-Sicherheitsunternehmen ist Anatsa (auch bekannt als „Teabot“) eine bekannte Android-Banking-Malware, die über zwei gefälschte Apps im Google Play Store verteilt wurde: eine PDF-Reader-App namens „PDF Reader & File Manager“ und eine QR-Code-Reader-App namens „QR Reader & File Manager“. Zum Zeitpunkt der Analyse von Zscaler hatten diese beiden Apps bereits 70.000 Installationen angesammelt.

Die Anatsa-Banking-Malware verwendet eine Dropper-Technik, bei der die ursprüngliche Anwendung bei der Installation für die Benutzer sauber erscheint.

Sie nutzt entfernte Payloads, die von Command-and-Control (C2)-Servern abgerufen werden, um weitere bösartige Aktivitäten durchzuführen.

Sobald sie installiert ist, verwendet sie eine Reihe von mehrdeutigen Taktiken, um sensible Bankdaten und Finanzinformationen aus globalen Finanzanwendungen zu exfiltrieren.

„Dies wird durch die Verwendung von Overlay- und Zugänglichkeitstechniken erreicht, die es ermöglichen, Daten diskret abzufangen und zu sammeln“, schrieben Zscalers Himanshu Sharma und Gajanana Khond in dem Blogbeitrag.

Um dies zu erreichen, nutzt die Anatsa-Malware Reflection, um Code aus einer geladenen Dalvik Executable (DEX)-Datei aufzurufen, die Code enthält, der schließlich von der Android Runtime ausgeführt wird.

Nachdem die Payload der nächsten Stufe heruntergeladen wurde, führt Anatsa eine Reihe von Überprüfungen der Geräteumgebung und des Gerätetyps durch, um Analyseumgebungen und Malware-Sandboxen zu finden.

Nach erfolgreicher Verifizierung fährt sie fort, die dritte und letzte Payload vom Remote-Server herunterzuladen.

Die Anatsa-Malware injiziert unkomprimierte Rohmanifestdaten in die APK und korrumpiert die Komprimierungsparameter in der Manifestdatei, um die Analyse zu erschweren.

Nachdem die APK geladen wurde, fordert die Malware verschiedene Berechtigungen an, einschließlich der SMS- und Zugänglichkeitsoptionen, und verbirgt die endgültige DEX-Payload innerhalb der Asset-Dateien.

Darüber hinaus entschlüsselt die Payload die DEX-Datei zur Laufzeit mit einem statischen Schlüssel, der im Code eingebettet ist.

Sobald die Malware das Gerät erfolgreich infiziert hat, beginnt sie die Kommunikation mit dem C2-Server und scannt das Gerät des Opfers, um zu überprüfen, ob Bank-Apps installiert sind.

Wenn eine Ziel-App gefunden wird, kommuniziert die Malware diese Informationen an den C2-Server.

Als Antwort stellt der C2-Server eine gefälschte Anmeldeseite für die Banking-App bereit.

Wenn das Opfer durch die gefälschte Anmeldeseite getäuscht wird und seine Bankdaten eingibt, werden die Informationen an den C2-Server zurückgesendet, den Hacker verwenden können, um sich in ihre Banking-Apps einzuloggen und ihr Geld zu stehlen.

Die Bedrohungsakteure hinter Anatsa exfiltrierten Daten, indem sie Anwendungen von über 650+ Finanzinstituten angriffen, hauptsächlich in Europa. Zscaler berichtet jedoch, dass die Malware auch „aktiv“ Bank-Apps in den USA und Großbritannien angreift, wobei die Bedrohungsakteure ihre Ziele auf Bank-Apps in Deutschland, Spanien, Finnland, Südkorea und Singapur ausweiten.

„Die jüngsten Kampagnen von Bedrohungsakteuren, die den Anatsa-Banking-Trojaner einsetzen, heben die Risiken hervor, denen Android-Nutzer in mehreren geografischen Regionen ausgesetzt sind, die diese bösartigen Anwendungen aus dem Google Play Store heruntergeladen haben“, schlossen die Forscher.

Während Zscaler die Identitäten der 90+ mit Malware infizierten Apps nicht bekannt gab, wurden die beiden Anatsa-Dropper-Apps aus dem Google Play Store entfernt.

Wenn Sie inzwischen eine der Dropper-Apps heruntergeladen haben, wird empfohlen, diese sofort von Ihrem Android-Gerät zu löschen.